CNAS CNAS-CC170 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 2015年12月30日发布 2016年04月01日实施 第1页共37页 CNAS-CC170:2015 目次 目次. 前言. 3 引言. 1范围. 5 2规范性引用文件. 3术语和定义 4原则.. 5通用要求， 5.1法律与合同事宜. 5.2公正性的管理. 5.3责任和财力.. 6 6结构要求.. 7资源要求. 7.1人员能力. 7.2参与认证活动的人员 6 7.3外部审核员和外部技术专家的使用 10 7.4人员记录. 10 7.5外包 10 8信息要求.. .0 8.1公开信息. 0 8.2认证文件 8.3认证的引用和标志的使用， 8.4保密. 8.5认证机构与其客户间的信息交换 9过程要求， 9.1 认证前的活动. 9.2 策划审核、 9.3 初次认证 15 9.4 实施审核. 16 9.5 认证决定. 17 9.6 保持认证 9.7 申诉. 18 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第2页共37页 9.8 投诉. 18 9.9 客户的记录... 10认证机构的管理体系要求， 18 10.1可选方式. 18 10.2方式A：通用的管理体系要求 19 10.3方式B：与GB/T19001一致的管理体系要求 附录A（资料性附录）ISMS审核与认证的知识与技能. 20 附录B（规范性附录）审核时间... 22 附录C（资料性附录）审核时间计算方法..： 附录D（资料性附录）对已实施的IS0/IEC27001:2013附录A的控制的评审指南.．31 参考文献. .37 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第3页共37页 前言 本文件等同采用国际标准IS0/IEC27006:2015《信息技术安全技术信息安全管理 体系审核认证机构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准 则，与管理体系认证机构基本认可准则CNAS-CC01:2015《管理体系认证机构要求》共同 构成CNAS对信息安全管理体系认证机构的认可准则。 本文件的附录A、C和D是资料性附录，附录B是规范性附录。 为了便于使用，对IS0/IEC27006:2015做了下列编辑性修改： 时，用词汇“规程”表示“procedure”； 全方面的管理时，用词汇“策略”表示“policy”，针对客户的管理体系方面 的管理时，用“方针”表示“policy”； 本文件代替了CNAS-CC17:2012。 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第4页共37页 引言 构的基本认可准则。如果管理体系认证机构按照IS0/IEC27001:2013《信息技术安全 技术信息安全管理体系要求》开展以信息安全管理体系（ISMS）审核和认证为目的活 动，并打算依据CNAS-CC01：2015获得认可，对CNAS-CC01：2015补充一些要求和指南是必 要的。本文件提供了这样的内容。 本文件正文遵循CNAS-CC01:2015的结构，针对ISMS审核和认证所增加的特定要求和 指南，用“IS”加以标识。 贯穿本文件全文，使用“应”（sha11）这一术语，以表示本文件中与CNAS-CC01:2015 和IS0/IEC27001:2013的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜” （should）这一术语表示建议。 本文件的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效 地协调一致。 注：本文件中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T 19000-2008（IS09000:2005，IDT）。请勿将本文件中使用的管理体系与其他类型的系 统混淆，例如IT系统。 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第5页共37页 信息安全管理体系认证机构要求 1.范围 要求并提供了指南，以作为对CNAS-CC01:2015和ISO/IEC27001:2013要求的补充。本文 件的主要目的是为ISMS认证机构的认可提供支持。 任何提供ISMS认证的机构，需要在能力和可靠性方面证实其满足本文件中的要求。 本文件中的指南提供了对这些要求的进一步说明。 注：本文件可以作为认可、同行评审或其他审核过程的准则性文件。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版 本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 CNAS-CC01:2015 管理体系认证机构要求（等同采用IS0/IEC17021-1:2015） IS0/IEC27000信息技术安全技术信息安全管理体系概述与词汇 IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求 3术语和定义 CNAS-CC01:2015和ISO/IEC27000中确立的以及下列术语和定义适用于本文件。 3. 1 认证文件 certification document 表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文 件。 4原则 CNAS-CC01:2015中第4章的原则适用。 5通用要求 5.1法律与合同事宜 CNAS-CC01中5.1的要求适用。 5. 2 公正性的管理 CNAS-CC01中5.2的要求适用。并且，以下要求和指南适用。 5.2.1IS5.2利益冲突 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第6页共37页 认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突： a）安排培训课程并作为讲师参与讲授，如果这些课程涉及信息安全管理、有关的管 理体系或审核，认证机构应仅限于提供可公开获取的通用信息和建议，即认证机 构不应针对具体公司提供那些违反下面b)要求的建议： b）根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见9.1.3.6）； c）仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不应导致提供违 反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且 没有把这些活动作为减少最终认证审核时间的理由； d）根据没有包含在认可范围内的标准或法规，实施第二方或第三方审核； e）在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明 显时，识别改进机会但不推荐具体的解决方案。 认证机构不应为寻求认证的客户ISMS提供内部信息安全评审。此外，认证机构应独 立于提供ISMS内部审核的机构（包括任何个人）。 5.3.责任和财力 CNAS-CC01中5.3的要求适用。 6结构要求 CNAS-CC01第6章的要求适用。 7 资源要求 7.1人员能力 CNAS-CCO1中7.1的要求适用。并且，以下要求和指南适用。 7.1.1通用的能力要求 认证机构应确保其人员具备与所评定的客户ISMS有关的、适时的技术知识和法律法 规知识。 认证机构应参照CNAS-CCO1的表A.1，为每项认证职能确定能力准则。认证机构应考 虑CNAS-CC01以及本文件7.1.2和7.2.1中所规定的、与认证机构确定ISMS技术领域相关 的所有要求。 注：附录A提供了特定认证职能的人员能力要求的摘要。 7.1.2IS7.1.2能力准则的确定 7.1.2.1实施ISMS审核的能力要求 7.1.2.1.1总体要求 认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则，以确保审 核组至少具备： a）信息安全的知识； 2015年12月30日发布 2016年04月01日实施