2012年中国CNAS信息安全管理体系认证机构认可标准

CNAS-SC18:2012信息安全管理体系认证机构认可方案是中国合格评定国家认可委员会（CNAS）于2012年4月1日发布的文件，该方案旨在规范和指导信息安全管理体系（ISMS）认证机构的运营。这份标准明确了ISMS认证机构的认可流程，包括认可申请、预访问、初次见证评审、认证业务范围的认可、认证协议的制定、审核员资质要求、信息安全管理体系证书的管理以及保密规定等关键环节。 首先，文件强调了认可过程的严谨性，规定了从申请阶段开始，认证机构需按照R.1的要求提交详细的申请材料，并进行预访问（R.2），以便CNAS评估其准备情况。初次认可时，会进行见证评审（R.3），确保机构具备足够的专业知识和能力来执行ISMS审核。 C.3部分特别关注审核员的专业素质，要求他们具备相应的教育背景、工作经历、审核员培训和审核经验。同时，对于认证证书的签发，也有明确的规定，包括信息安全管理的变化控制（C.6）和已认可机构的转换指南（C.7）。 文件还详细描述了认证申请流程（C.8），涉及申请文档准备、监管要求的考虑以及与CNAS-EC-027:2010标准的更新，如引入ISO/IEC 27007和ISO/IEC TR 27008的相关内容，以及根据CNAS-CC01:2011的要求调整G.1部分，即ISMS认证机构能力分析和评价系统的指南。 此外，G系列指南提供了关于审核范围界定（G.2）、审核时间确定（G.3）的具体操作方法，以及一个规范性附录（A）对ISMS认证业务范围进行了分类和分级，帮助认证机构更准确地定位自身服务的范围。 CNAS-SC18:2012信息安全管理体系认证机构认可方案为中国的信息安全管理体系认证行业设定了明确的标准，确保认证机构具备专业能力，保障了ISMS认证的公正性和有效性。这份文件的发布和实施对于提升我国信息安全管理水平具有重要意义。