CNAS-CC170-2015：信息安全管理体系认证标准

"CNAS-CC170-2015是中国合格评定国家认可委员会（CNAS）制定的一份标准，规定了信息安全管理体系（ISMS）认证机构的要求。该标准旨在确保认证机构在进行ISMS认证时能遵循公正、专业且有效的方法，以提升信息安全领域的认证质量与可信度。" CNAS-CC170-2015标准分为多个部分，详细阐述了认证机构在提供ISMS认证服务时应满足的各项条件和操作流程。 1. **范围**：标准适用于提供ISMS认证的机构，旨在规定这些机构在认证过程中需遵守的规则、责任和操作程序，以确保其认证活动的公正性和有效性。 2. **规范性引用文件**：认证机构需参考的相关国际和国内标准，例如ISO/IEC 27001:2013，这是信息安全管理体系的基础标准。 3. **术语和定义**：标准中定义了关键术语，以便于理解和执行各项要求。 4. **原则**：强调了公正性管理、法律责任和财务稳定性等基本原则，要求认证机构在开展业务时要保持独立性和专业性。 5. **通用要求**：包括法律与合同遵守、公正性维护以及机构的责任和财力保障。这些要求确保认证过程的合法性及机构的可持续运营。 6. **结构要求**：规定了认证机构的组织架构和职责分配，确保内部管理的有效性。 7. **资源要求**：涉及人员能力、参与认证活动的人员资格、外部审核员和技术专家的使用，以及人员记录和外包管理。这些要求保证了认证工作的专业性和质量。 8. **信息要求**：涵盖公开信息的透明性、认证文件的管理、认证引用和标志的使用、保密措施，以及与客户之间的信息交换。这些规定旨在保护信息安全并维护认证的声誉。 9. **过程要求**：详述了认证前的活动、审核策划、初次认证、审核实施、认证决定、认证保持、申诉和投诉处理等流程，确保认证过程的完整性和合规性。 10. **认证机构的管理体系要求**：提供了两种可选的管理体系要求方式，即通用的管理体系要求（方式A）和与GB/T 19001一致的管理体系要求（方式B），确保机构自身的管理符合国际标准。 11. **附录**：提供了ISMS审核与认证的知识与技能要求、审核时间的计算方法，以及对ISO/IEC 27001:2013控制的评审指南，以辅助认证机构理解和执行标准。 通过遵循CNAS-CC170-2015标准，ISMS认证机构能够建立和维护一套可靠的质量保证体系，为组织提供符合国际标准的信息安全认证服务。