"CNAS-SC170-2017《信息安全管理体系认证机构认可方案》是中国合格评定国家认可委员会(CNAS)于2017年发布并实施的文件,旨在规范和指导ISMS(信息安全管理体系)认证机构的认可过程。该方案包括了认可申请、预访问、初次认可的见证评审等多个环节,并详细列出了认证过程中涉及的多项关键要求,如认证协议、风险评估、审核员选择、保密规定等。同时,方案还提供了ISMS认证机构能力分析和评价系统的指导,并给出了认证业务范围的分类与分级标准。"
CNAS-SC170-2017方案的核心内容包括以下几个方面:
1. **认可申请** (R.1): 认可申请流程规定了ISMS认证机构申请CNAS认可的步骤和所需提交的文件,确保申请机构具备必要的组织结构和能力。
2. **预访问** (R.2): 预访问是认可前的初步评估,旨在了解机构的基本情况,确保其符合认可的基本条件。
3. **初次认可的见证评审** (R.3): 这是对认证机构实施现场评审的重要阶段,通过见证ISMS认证活动来验证其操作是否符合认可准则。
4. **认证业务范围的认可** (R.4): 定义了ISMS认证机构可以进行认证的领域和级别,确保机构的专业能力和覆盖范围。
5. **其他** (R.5): 包括了除上述流程外的其他认可相关活动和要求。
此外,方案中详细列出了认证过程中认证机构需遵循的若干关键条款,例如:
- **认证协议** (C.1): 机构需明确与客户的认证协议,确保双方权利和义务的清晰。
- **风险评估和责任安排** (C.2): 要求认证机构进行风险评估,并明确各自的责任。
- **选择审核员** (C.3): 审核员的选择应基于专业能力和公正性,以确保认证过程的公正和有效。
- **ISMS认证证书** (C.4): 证书的发放、管理和更新必须符合相关规定。
- **保密** (C.5): 机构需要有严格的保密措施,保护客户信息的安全。
- **ISMS的变化** (C.6): 当ISMS发生变化时,认证机构应如何应对和调整。
- **已认可的ISMS认证的转换** (C.7): 规定了原有认证向新标准转换的处理方式。
- **认证申请** (C.8): 对认证申请的处理流程有明确要求。
- **认证审核相关要求** (C.9): 涵盖了从审核准备到审核报告的所有环节。
- **认证机构的管理体系** (C.10): 机构需建立有效的管理体系,以持续改进和保证服务质量。
方案还包括了**ISMS认证机构能力分析和评价系统指南** (G.1),提供了评估和提升认证机构能力的方法,并附有**ISMS认证业务范围分类与分级** (附录A)以及**通用信息安全技术领域和通用信息技术领域的参考分类、知识点及应用** (附录B)。
CNAS-SC170-2017方案为ISMS认证机构提供了一套全面的评价和管理框架,确保其在信息安全领域的认证服务达到国际认可的标准。
我的内容管理
展开
