返回
CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf

CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf

ID:57753337

大小:260.35 KB

页数:16页

时间:2020-03-28

CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf_第1页
CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf_第2页
CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf_第3页
CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf_第4页
CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf_第5页
资源描述:

《CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、认可说明编号:CNAS-EC-027:2009第1页共16页信息安全管理体系认证机构的认可说明1目的和适用范围1.1为确保CNAS对GB/T22080—2008(ISO/IEC27001:2005,IDT)信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。1.2本文件是对ISMS认证机构认可规范的补充和必要说明,适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件,适时将其转化为相应认可规范。

2、本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。2术语和定义GB/T19000-2008和GB/T27000-2006中的术语和定义以及下列术语和定义适用于本文件。2.1技术领域按照信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具在行业、组织和(或)业务活动中的应用特点而划分的范围2.2ISMS专业审核员能够独立实施涉及特定技术领域的ISMS审核活动的审核员2.3ISMS技术专家针对特定技术领域的信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方

3、法、工具等为ISMS认证活动提供支持的技术专家3ISMS认证机构认可规范3.1CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。3.2其他适用的认可规则包括:a)CNAS-R01:2006《认可标识和认可状态声明管理规则》(2007年第1次修订);发布日期:2009年02月15日实施日期:2009年02

4、月15日认可说明编号:CNAS-EC-027:2009第2页共16页b)CNAS-R02:2006《公正性和保密规则》;c)CNAS-R03:2008《申诉、投诉和争议处理规则》;d)CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则》;e)CNAS-RC03:2006《认证机构信息通报规则》;f)CNAS-RC04:2008《认证机构认可收费管理规则》;g)CNAS-RC05:2006《多场所认证机构认可规则》;h)CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。3.3其他适用的认可准则包

5、括:a)CNAS-CC11:2008《基于抽样的多场所认证》;b)CNAS-CC12:2008《已认可的管理体系认证的转换》;c)CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。发布日期:2009年02月15日实施日期:2009年02月15日认可说明编号:CNAS-EC-027:2009第3页共16页R部分R.1认可申请申请认可的ISMS认证机构(以下称为“申请方”)应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件:a)ISMS认证活动已被国家认监委批准;b)基本运作符合

6、CNAS-CC01。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息:a)ISMS认证活动国家认监委批准文件复印件;b)已审核过的组织(对应到附录一中的相应中类);c)自申请时间起6个月内计划实施的审核(对应到附录一中的相应中类);d)需要时CNAS要求的其他信息。R.2初次认可的见证评审CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。注:认可试点期间,如果初次认可中仅实施一次见证评审,CNAS将在申请方获得认可后,

7、结合其ISMS认证活动发展情况,至少补充一次见证评审。R.3认证业务范围的认可R.3.1认证业务范围的分类与分级CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法:分为“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“I”、“II”或“III”(由高至低)的风险级别。本文件附录一对以上分类和分级做了进一步说明。R.3.2认证业务范围的认可程序ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下,在申请认可的认证业务范围内,认证机构的能

8、力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。R.3.2.1评审认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括:a)按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况;b)在申请认可的每

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。