CNAS CNAS-CC17 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 2009年02月15日发布 2009年02月15日实施 CNAS-CC17:2009 第1页共30页 目 录 前言 3 引言 4 1范围.... 5 2规范性引用文件.. 5 3术语和定义 5 4原则.. 5 5通用要求.... 6 5.1法律与合同事宜 6 5.2公正性的管理.. 6 5.3责任和财力. 6 6结构要求...... 6 6.1组织结构和最高管理层.. 6 6.2维护公正性的委员会... 6 7资源要求. 6 7.1管理层和人员的能力.... 6 7.2参与认证活动的人员. 7 7.3外部审核员和外部技术专家的使用 7.4人员记录 8 7.5外包... .8 8信息要求. 8 8.1可公开获取的信息 8 8.2认证文件, 8 8.3获证客户组织名录 9 8.4认证的引用和标志的使用. 9 8.5保密性. 9 8.6认证机构与其客户组织间的信息交换 9 9过程要求. ..9 9.1通用要求.... ...9 9.2初次审核与认证 ....11 9.3监督活动.. ..14 9.4再认证.. ......14 9.5特殊审核.. ....15 9.6暂停、撤销或缩小认证范围 ..15 9.7申诉.. ..15 9.8 ......15 9.9申请组织和客户组织的记录 .15 10认证机构的管理体系要求.. 10.1可选方式 .....15 10.2方式一:按照GB/T19001-2000的管理体系要求.. ..15 10.3方式二:通用的管理体系要求15 2008年02月15日发布 2008年02月15日实施 CNAS-CC17:2009 第2页共30页 10.3.1IS10.3ISMS实施.. .....15 附录A. ...16 客户组织复杂性和行业特定方面的分析. 16 A.1组织的潜在风险. ..16 A.2行业特定的信息安全风险类别 .17 附录B ....18 B.1需考虑的一般能力 ..18 B.2需考虑的特定能力.. .......18 B.2.1有关GB/T22080-2008的附录A控制措施的知识................ .......18 B.2.2有关ISMS的典型知识. .18 附录C. ....20 C.1引言. 20 C.2确定审核时间的程序.. 20 C.3审核时间表. 21 C.3.1通则.... ...
CNAS-CC17-2009 信息安全管理体系认证机构要求.pdf
