CNAS-SC170
信息安全管理体系认证机构认可方案
(征求意见稿)
AccreditationSchemeforISMSCertificationBodies
中国合格评定国家认可委员会
2024年XX月XX日发布2024年XX月XX日实施
CNAS-SC170:2024第4页共8页
信息安全管理体系认证机构认可方案
1范围
1.1为确保CNAS对实施ISO/IEC27001认证的信息安全管理体系(以下称为“ISMS”)
认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实
施认可规范要求,特制定本文件。
1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于
CNAS对ISMS认证机构的认可。
1.3本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。
2规范性引用文件
无
3术语和定义
CNAS-CC01、CNAS-CC170和CNAS-RC01中的术语和定义适用于本文件。
4ISMS认证机构认可规范的构成
本文件与下列文件共同组成ISMS认证机构认可规范
—CNAS-R01《认可标识使用和认可状态声明规则》
—CNAS-R02《公正性和保密规则》
—CNAS-R03《申诉、投诉和争议处理规则》
—CNAS-RC01《认证机构认可规则》
—CNAS-RC02《认证机构认可资格处理规则》
—CNAS-RC03《认证机构信息通报规则》
—CNAS-RC04《认证机构认可收费管理规则》
—CNAS-RC05《多场所认证机构认可规则》
—CNAS-RC07《具有境外场所的认证机构认可规则》
—CNAS-CC01《管理体系认证机构要求》
—CNAS-CC11《基于抽样的多场所认证》
—CNAS-CC12《已认可的管理体系认证的转换》
—CNAS-CC14《信息和通信技术(ICT)在审核中应用》
—CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》
2024年XX月XX日发布2024年XX月XX日实施
CNAS-SC170:2024第5页共8页
—CNAS-CC170《信息安全管理体系认证机构要求》
R部分
R.1认证业务范围的认可
R.1.1附录A规定了ISMS认证机构认证业务范围分类与分级。
R.1.2CNAS按附录A的业务范围分类进行认可。
注:认证机构应在提交认可申请时明确拟申请的业务范围,包括相应的大类或中类。
R.1.3CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内(不
含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉
密信息系统建设使用单位。
R.2见证评审
R.2.1初次认可时,CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核和
第二阶审核。
R.2.2认证业务范围认可的见证评审要求
1)附录A中每个大类的一级中类分别为一个独立的需强制见证组别,CNAS采取
抽样的方式对每个技术组中某个中类实施见证评审。
2)附录A中的二级和三级中类为一个非强制见证组别,适用时,CNAS优先选取
该技术组中一个风险级别高的某一中类实施见证评审。
R.2.3对于已获得认可资格的认证机构,每年应进行至少一次见证评审。
在每个完整的5年认可周期内,CNAS至少对一个获认可的强制见证组别实施1
次见证评审。当不满足完整的5年认可周期时,优先选取风险等级高的中类实施见证。