CNAS-CC170:2015信息安全管理体系认证规范

"CNAS-CC170是中国合格评定国家认可委员会（CNAS）发布的一份关于信息安全管理体系认证机构的要求文件，旨在规定认证机构在进行ISMS（信息安全管理体系）认证时应遵循的标准和程序。这份文件于2015年12月30日发布，并于2016年4月1日开始实施，其内容参照了国际标准ISO/IEC 27006:2015。" CNAS-CC170文档涵盖了多个方面，包括： 1. **范围**：明确了文件适用于提供ISMS认证服务的认证机构，旨在确保其服务质量和公正性。 2. **规范性引用文件**：列出相关的重要法规、标准和技术文件，认证机构需依据这些文件执行工作。 3. **术语和定义**：定义了与ISMS认证相关的专业术语，以确保统一的理解和应用。 4. **原则**：确立了认证机构运作的基本原则，如公正性、法律责任和财务稳定性。 5. **通用要求**：包括法律与合同事项的遵守，公正性管理，以及认证机构的责任和财力保障。 6. **结构要求**：对认证机构的组织结构提出要求，确保其能有效运营。 7. **资源要求**：涉及人员能力、参与认证活动的人员资格、外部审核员和技术专家的使用、人员记录管理和外包活动的管理。 8. **信息要求**：规定公开信息的发布、认证文件的管理、认证引用和标志的使用、保密义务，以及与客户之间信息交换的规则。 9. **过程要求**：涵盖认证前的活动，如策划审核、初次认证、实施审核、认证决定、保持认证的过程，以及处理申诉和投诉的机制。 10. **认证机构的管理体系要求**：提供了两种管理体系实施方式，即方式A和方式B，分别对应通用的管理体系要求和与GB/T19001一致的管理体系要求。 此外，文档还包含三个资料性附录，分别涉及ISMS审核与认证的知识与技能、审核时间的计算方法，以及对ISO/IEC 27001:2013附录A控制的评审指南，为实际操作提供了详细的指导。 总体来说，CNAS-CC170是确保我国信息安全管理体系认证质量和公信力的关键文件，对认证机构的运营、人员资质、流程管理以及与客户的互动等方面设定了严格的标准，以符合国际最佳实践并促进信息安全领域的健康发展。