CNAS-SC18-2012 信息安全管理体系认证机构认可方案（2015年第二次修订）

CNAS-SC18-2012 信息安全管理体系认证机构认可方案（2015年第二次修订） 本文件由中国合格评定国家认可委员会（CNAS）制定。 本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南， 并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件 2012 年首次发布，2015 年两次修订主要进行了以下编辑性调整： 1）4.2 条款 a）和 h），分别更新了 CNAS-R01 和 CNAS-R07 的文件名称； 2）R.5.1 条款，调整了该条款的阐述方式； 3）R.5.2 条款，更新对 CNAS-RC03 相关条款的引用； 4）更新了本文件对 CNAS-CC01:2015 相关条款的引用； 5）第 3 章，增加了对 CNAS-CC01 的引用，同时删除了“能力”和“技术领域” 两个术语； 6）G.1 条款，根据 CNAS-CC01 附录 A 的表 A.1 调整了表 G.1。 范围 1.1 为确保 CNAS 对实施 GB/T 22080—2008（ISO/IEC 27001:2005, IDT）认证的信 息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请 和获得认可的 ISMS 认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于 CNAS 对 ISMS 认证机构的认可。 本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明。本文件 G 部分是对相关认可准则的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注 明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订） 适用。 CNAS-RC01《认证机构认可规则》 CNAS-CC01《管理体系认证机构要求》 CNAS-CC17《信息安全管理体系认证机构要求》 CNAS-CC11《基于抽样的多场所认证》 CNAS-CC12《已认可的管理体系认证的转换》 ISO/IEC 27007 《信息技术 安全技术 信息安全管理体系审核指南》 ISO/IEC TR 27008 《信息技术 安全技术 审核员的信息安全控制措施指南》 ISO/IEC 27003 《信息技术 安全技术 信息安全管理体系实施指南》 3 术语和定义 GB/T 19000－2008、GB/T 27000－2006 和 CNAS-CC01 中的术语和定义以及下列 术语和定义适用于本文件。 3.1 认证业务范围：认证机构的 ISMS 认证活动涉及的行业领域 注：认证业务范围的分类与分级见附录 A，包括“政务”、“公共”、“商务”、“产品的 生产”四个大类，每个大类包含若干中类，每个中类被赋予“一”、“二”或“三”级 别（认可风险水平由高至低）。附录 A 介绍了认证业务范围分类与分级的相关考虑。 注：对于 ISMS，技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及 业务活动的类别有关。3.2 专业能力：能够应用特定技术领域的知识实现预期结果的本领 4 ISMS 认证机构认可规范的构成 4.1 CNAS-RC01《认证机构认可规则》是 ISMS 认证机构认可活动的基本程序规则。 CNAS-CC01《管理体系认证机构要求》是 ISMS 认证机构的基本认可准则。 CNAS-CC17《信息安全管理体系认证机构要求》是 ISMS 认证机构的专用认可准则。 4.2 其他适用的认可规则包括： a) CNAS-R01《认可标识使用和认可状态声明规则》； b) CNAS-R02《公正性和保密规则》； c) CNAS-R03《申诉、投诉和争议处理规则》； d) CNAS-RC02《认证机构认可资格处理规则》； e) CNAS-RC03《认证机构信息通报规则》； f) CNAS-RC04《认证机构认可收费管理规则》； g) CNAS-RC05《多场所认证机构认可规则》； h) CNAS-RC07《具有境外场所的认证机构认可规则》。 4.3 其他适用的认可准则包括： a) CNAS-CC11《基于抽样的多场所认证》； b) CNAS-CC12《已认可的管理体系认证的转换》； c) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。 R 部分 R.1 认可申请 在中华人民共和国境内从事 ISMS 认证活动的认证机构申请认可的（以下称为“申 请方”），应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件： a) ISMS 认证活动已被国家认监委批准； b) 已按照 CNAS-CC01 和 CNAS-CC17 建立了管理体系，且运行时间不少于 6 个月。 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息： 1） ISMS 认证活动国家认监委批准文件复印件； 2） 已审核过的组织（对应到认证业务范围相应中类）； 3） 自申请时间起 6 个月内计划实施的审核（对应到认证业务范围相应中类）； 4） 本机构确保客户组织符合工信部联协[2010]394 号文《关于加强信息安全 管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安 全管理体系认证的管理要求的措施； 5） 需要时，CNAS 要求的其他信息。