返回
cnas-cc17:2009信息安全管理体系认证机构要求

cnas-cc17:2009信息安全管理体系认证机构要求

ID:9220639

大小:335.62 KB

页数:25页

时间:2018-04-23

cnas-cc17:2009信息安全管理体系认证机构要求_第1页
cnas-cc17:2009信息安全管理体系认证机构要求_第2页
cnas-cc17:2009信息安全管理体系认证机构要求_第3页
cnas-cc17:2009信息安全管理体系认证机构要求_第4页
cnas-cc17:2009信息安全管理体系认证机构要求_第5页
资源描述:

《cnas-cc17:2009信息安全管理体系认证机构要求》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、认可说明编号:CNAS-EC-027:2010第1页共24页信息安全管理体系认证机构认可说明1目的和适用范围1.1为确保CNAS对实施GB/T22080—2008(ISO/IEC27001:2005,IDT)认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。1.2本文件是对管理体系认证机构认可规范的补充和必要说明,适用于CNAS对ISMS认证机构的认可。本文件R部分和C部分分别是对相关认可规则和

2、认可准则的补充和说明。本文件G部分是对相关认可准则的应用指南。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。CNAS-RC01《认证机构认可规则》CNAS-CC01《管理体系认证机构要求》CNAS-CC17《信息安全管理体系认证机构要求》CNAS-CC11《基于抽样的多场所认证》CNAS-CC12《已认可的管理体系认证的转换》3术语和定义GB/T19000-2008和GB/T

3、27000-2006中的术语和定义以及下列术语和定义适用于本文件。3.1认证业务范围:认证机构的ISMS认证活动涉及的行业领域注:认证业务范围的分类与分级见附录一,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、“二”或“三”级别(认可风险水平由高至低)。附录一介绍了认证业务范围分类与分级的相关考虑。3.2能力:应用知识和技能实现预期结果的本领3.3技术领域:以ISMS相关过程的共性为特征的领域注:对于ISMS,技术领域与信息安全控制措施所涉

4、及的信息安全技术、信息技术及发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日认可说明编号:CNAS-EC-027:2010第2页共24页业务活动的类别有关。3.3专业能力:应用特定技术领域的知识实现预期结果的本领4ISMS认证机构认可规范的构成4.1CNAS-RC01《认证机构认可规则》是ISMS认证机构认可活动的基本程序规则。CNAS-CC01《管理体系认证机构要求》是ISMS认证机构的基本认可准则。CNAS-CC17《信息安全管理体系认证机构要

5、求》是ISMS认证机构的专用认可准则。4.2其他适用的认可规则包括:a)CNAS-R01《认可标识和认可状态声明管理规则》;b)CNAS-R02《公正性和保密规则》;c)CNAS-R03《申诉、投诉和争议处理规则》;d)CNAS-RC02《认证机构认可资格的暂停与撤销规则》;e)CNAS-RC03《认证机构信息通报规则》;f)CNAS-RC04《认证机构认可收费管理规则》;g)CNAS-RC05《多场所认证机构认可规则》;h)CNAS-RC07《具有境外关键场所的认证机构认可规则》。4.3其他适

6、用的认可准则包括:a)CNAS-CC11《基于抽样的多场所认证》;b)CNAS-CC12《已认可的管理体系认证的转换》;c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。R部分R.1认可申请申请认可的ISMS认证机构(以下称为“申请方”)应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件:a)ISMS认证活动已被国家认监委批准;b)已按照CNAS-CC01和CNAS-CC17建立了管理体系,且运行时间不少于6个月。申请方应提供CNAS-RC01:2006

7、条款5.1.2规定的申请文件以及下列文件和信息:a)ISMS认证活动国家认监委批准文件复印件;b)已审核过的组织(对应到认证业务范围相应中类);c)自申请时间起6个月内计划实施的审核(对应到认证业务范围相应中类);d)本机构确保客户组织符合工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;e)需要时,CNAS要求的其他信息。发布日期:2009年02月15日修订日期:2010年10月14日实施日期:

8、2010年10月14日认可说明编号:CNAS-EC-027:2010第3页共24页R.2预访问必要时,CNAS可在对申请方实施初次认可评审前对其进行预访问,以了解申请方是否已基本具备接收认可评审的条件。R.3初次认可的见证评审CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。R.4认证业务范围的认可R.4.1CNAS通过对ISMS认证机构的认证业务范围进行认可来确定该机构的认可范围。CNAS按认证业务范围的大类进行认可,必要时可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。