CNAS CNAS-SC170 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 2024年9月30日发布 2024年9月30日实施 CNAS-SC170:2024 第2页共8页 目次 范围. 1 2 规范性引用文件 3术语和定义. 4ISMS 认证机构认可规范的构成 R部分... 5 R.1认证业务范围的认可. 5 R.2见证评审.. R.3对认证机构客户的信息及其相关资产的访问安排. 5 C部分 C. 1 认证协议（CNAS-CC01:2015 5.1.2） 5 C.2客户记录的获取（CNAS-CC170:2024 8.4.2） C.3ISMS 的变化 （CNAS-CC01:2015 8.5.3） 6 C. 4 认证申请（CNAS-CC01:2015 9.1.1） 6 C. 5 初次认证第一阶段（CNAS-CC01:2015 9.3.1.2） .6 C.6认证机构的管理体系（CNAS-CC170:2024 10.1.2） 6 附录A（规范性附录）ISMS认证机构认证业务范围分类与分级 2024年9月30日发布 2024年9月30日实施 CNAS-SC170:2024 第3页共8页 前 言 本文件由中国合格评定国家认可委员会（CNAS）制定。 本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南， 并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件代替了 CNAS-SC170:2017。 2024年9月30日发布 2024年9月30日实施 第4页共8页 CNAS-SC170:2024 信息安全管理体系认证机构认可方案 1范围 1.1为确保CNAS 对实施IS0/IEC 27001认证的信息安全管理体系（以下称为ISMS”） 认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实 施认可规范要求，特制定本文件。 1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于 CNAS 对ISMS 认证机构的认可。 1.3本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。 2规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注 明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订） 适用。 CNAS-RCO1《认可标识使用和认可状态声明规则》 CNAS-CCO1《管理体系认证机构要求》 CNAS-CC170《信息安全管理体系认证机构要求》 3术语和定义 CNAS-CCO1、CNAS-CC170 和 CNAS-RCO1 中的术语和定义适用于本文件 4：ISMS认证机构认可规范的构成 本文件与下列文件共同组成ISMS认证机构认可规范 一CNAS-RO1《认可标识使用和认可状态声明规则》 一CNAS-RO2《公正性和保密规则》 一CNAS-RO3《申诉、投诉和争议处理规则》 一CNAS-RCO1《认证机构认可规则》 一CNAS-RCO2《认证机构认可资格处理规则》 一CNAS-RCO3《认证机构信息通报规则》 一CNAS-RCO4《认证机构认可收费管理规则》 一CNAS-RCO5《多场所认证机构认可规则》 一CNAS-RCO7《具有境外场所的认证机构认可规则》 2024年9月30日发布 2024年9月30日实施 第5页共8页 CNAS-SC170:2024 一CNAS-CCO1《管理体系认证机构要求》 一CNAS-CC11《多场所组织的管理体系审核与认证》 一CNAS-CC12《已认可的管理体系认证的转换》 一CNAS-CC14《信息和通信技术（ICT）在审核中应用》 一CNAS-CC106《CNAS-CCO1 在一体化管理体系审核中的应用》 一CNAS-CC170《信息安全管理体系认证机构要求》 R部分 R.1.认证业务范围的认可 R.1.1附录A规定了ISMS 认证机构认证业务范围分类与分级。 R.1.2CNAS按附录A的业务范围分类进行认可。 注：认证机构应在提交认可申请时明确拟申请的业务范围，包括相应的大类或中类。 R.1.3CNAS 对ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内（不 含香港、澳门特别行政区，台湾地区）的各级政府机关、政府信息系统运行单位和涉 密信息系统建设使用单位。 R.2 见证评审 R.2.1初次认可时，CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核和 第二阶审核。 R.2.2认证业务范围认可的见证评审要求 1）附录 A中每个大类的一级中类分别为一个独立的需强制见证组别，CNAS 在每 个大类中选取某个一级中类实施见证评审。 2）附录A中的二级和三级中类为一个非强制见证组别，适用时，CNAS优先选取 该见证组别中风险级别高的某一中类实施见证评审。 R.2.3获认可后的见证评审要求 2）在每个完整的5年认可周期内，CNAS 至少对一个获认可的强制见证组别实施 1次见证评审。当不满足完整的5年认可周期时，优先选取风险等级高的中类实施见 证。 R.3．对认证机构客户的信息及其相关资产的访问安排 当认证机构的客户不同意CNAS在认可评审中访问其信息和相关资产时，认证机 构应提前告知 CNAS,CNAS 将根据评审所受的影响采取相应的措施， C部分 C.1 .认证协议 （CNAS-CC01:2015 5.1.2) 认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确 2024年9月30日发布 2024年9月30日实施 第6页共8页 CNAS-SC170:2024 认证机构和客户及其有关人员的责任与义务。 C.2．客户记录的获取（CNAS-CC170:2024 8.4.2） C.2.1认证机构直接接触客户信息的认证人员（例如，审核组成员）宜按照客户的保 密要求与客户签署保密协议，或向客户做出保密承诺。 C.2.2如果客户事先没有禁止认证机构接触某一信息和相关资产，或未告知认证机 构应满足的要求，但认证机构在认证过程中发现自已并不具备接触该信息资产的资格 和条件，应立即向客户提出。 C.2.3审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审核 组在离开客户前，宜请客户检查和确认审核组携带的文件、资料和设备中未夹带客户 的任何保密或敏感信息。 C.3 .ISMS 的变化 （CNAS-CC01:2015 8.5.3) 认证机构应要求客户即时报告其ISMS范围内活动边界（见CNAS-CC170:2024 9.1.3.6）和ISMS适用法律法规的重大变更。 C.4 ：认证申请 （CNAS-CC01:2015 9.1.1) C.4.1认证机构应确保认证申请客户承诺遵守工信部联协[2010]394号文《关于加 强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对 信息安全管理体系认证的管理要求（例如，工信部2011年第21号公告《工业和信息 化部加强政府部门信息技术外包服务安全管理》）。 C.4.2认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录或 认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法 规要求，并即时更新该说明，以便认证机构判断其是否具备对该客户实施认证活动的 资格或条件。 C.5初次认证第一阶段 （CNAS-CC01:2015 9.3.1.2) 认证机构宜合理分配第一阶段审核时间，并予以记录。认证机构应在一阶段对客 户的文件化管理体系信息进行充分审核。 C.6：认证机构的管理体系 （CNAS-CC170:2024 10.1.2） C.6.1认证机构宜在其方针、政策、目标和承诺上体现自身的信息安全意识和追求， 并在管理体系的建立和实施中予以体现。 C.6.2认证机构宜将自身信息安全绩效作为管理评审的输入，包括考虑认证活动对 客户信息安全的影响所采取的措施。 2024年9月30日发布 2024年9月30日实施 CNAS-SC170:2024 第7页共8页 附录A（规范性附录） ISMS 认证机构认证业务范围分类与分级 大类 中类 级别 描述 备注 政务 包括人大、政府、法院、检察院等，不含税务 01. 01 国家机构 机关和海关 01 01. 02 税务机关 一 01. 03 海关 01. 04 其他 例如政党，政协，社会团体等 公共 02. 01 通信、广播电视 02. 02 新闻出版 一 包括互联网内容的提供 02. 03 科研 二 涉及特别重大项目的应提升为一级 例如社会保险基金管理、慈善团体等。包括医 二 社会保障 02.04 02 疗保险 02. 05 医疗服务 一 02.06 三 教育 例如市政公用事业（水的生产和供应、污水处 02.07 二 其他 理、燃气生产和供应、热力生产和供应、城 市水陆交通设施的维护管理等） 商务 03. 01 金融 例如银行、证券、期货、保险、资产管理等 03. 02 电子商务 以在线交易为主要特点，含网络游戏 03 03. 03 物流 包括邮政 03. 04 三 咨询中介 例如法律、会计、审计、公证等 03. 05 旅游、宾馆、饭店 二 其他 03. 06 三 产品的生产 产品包括软件、硬件、流程性材料和服务 04. 01 电力 包括发电和输、变、配电等 04.02 铁路 04. 03 民航 04. 04 化工 04. 05 航空航天 04. 06