返回
信息安全管理体系认证机构的认可说明(征求意见稿)

信息安全管理体系认证机构的认可说明(征求意见稿)

ID:22495750

大小:259.50 KB

页数:12页

时间:2018-10-29

信息安全管理体系认证机构的认可说明(征求意见稿)_第1页
信息安全管理体系认证机构的认可说明(征求意见稿)_第2页
信息安全管理体系认证机构的认可说明(征求意见稿)_第3页
信息安全管理体系认证机构的认可说明(征求意见稿)_第4页
信息安全管理体系认证机构的认可说明(征求意见稿)_第5页
资源描述:

《信息安全管理体系认证机构的认可说明(征求意见稿)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理体系认证机构的认可说明(征求意见稿)1目的和适用范围1.1为确保CNAS对GB/T22080—2008(ISO/IEC27001:2005,IDT)信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。1.2本文件是对ISMS认证机构认可规范的补充和必要说明,适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件,适时将其转化为相应认可规范。本文件R部分是对相关认可规则的补充和进一步说明。本文件

2、G部分是对相关认可准则的应用指南。2术语和定义ISO9000:2005和GB/T27000-2006中的术语和定义以及下列术语和定义适用于本文件。2.1技术领域按照信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具在行业、组织和(或)业务活动中的应用特点而划分的范围2.2ISMS专业审核员能够独立实施涉及特定技术领域的ISMS审核活动的审核员2.3ISMS技术专家针对特定技术领域的信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家3ISMS认证机构认

3、可规范3.1CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。3.2其他适用的认可规则包括:a)CNAS-R01:2006《认可标识和认可状态声明管理规则》(2007年第1次修订);b)CNAS-R02:2006《公正性和保密规则》;c)CNAS-R03:2008《申诉、投诉和争议处理规则》;d)CNAS-RC

4、02:2006《认证机构认可资格的暂停与撤销规则》;e)CNAS-RC03:2006《认证机构信息通报规则》;f)CNAS-RC04:2008《认证机构认可收费管理规则》;g)CNAS-RC05:2006《多场所认证机构认可规则》;h)CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。3.3其他适用的认可准则包括:a)CNAS-CC11:2008《基于抽样的多场所认证》;b)CNAS-CC12:2008《已认可的管理体系认证的转换》;c)CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的

5、使用》。12R部分R.1认可申请申请认可的ISMS认证机构(以下称为“申请方”)应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件:a)ISMS认证活动已被国家认监委批准;b)基本运作符合CNAS-CC01。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息:a)ISMS认证活动国家认监委批准文件复印件;b)已审核过的组织(对应到附录一中的相应中类);c)自申请时间起6个月内计划实施的审核(对应到附录一中的相应中类);d)需要时CNAS要求的其他信息。R.2初次认可的见证评审CNA

6、S结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。注:认可试点期间,如果初次认可中仅实施一次见证评审,CNAS将在申请方获得认可后,结合其ISMS认证活动发展情况,至少补充一次见证评审。R.3认证业务范围的认可R.3.1认证业务范围的分类与分级CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法:分为“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“I”、“II”或“III”(由髙至低)的风险级别。本文件附录一

7、对以上分类和分级做了进一步说明。R.3.2认证业务范围的认可程序ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下,在申请认可的认证业务范围内,认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。R.3.2.1认证业务范围的评审认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括:a)按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况;b)在申请认可的每个大类中选取一定数量的中类,按中

8、类从认证活动管理和实施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下,I级风险的中类必选,并需要实施见证评审;II级和III级风险的中类采用适当的抽样方法选取,必要时进行见证评审;c)基于以上评审活动的结果,评价认证机构能力分析和

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。