CNAS CNAS-CC17 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 2012年01月10日发布 2012年04月01日实施 CNAS-CC17:2012 第1页共30页 目 录 前言 2 引言 3 1范围. 4 2规范性引用文件 4 3术语和定义. 4 4原则. 4 5通用要求 5 5.1法律与合同事宜,.. 5 5.2公正性的管理. 5 5.3责任和财力. 5 6结构要求. 5 6.1组织结构和最高管理层 5 6.2维护公正性的委员会 5 7资源要求. 5 7.1管理层和人员的能力. 5 7.2参与认证活动的人员 6 7.3外部审核员和外部技术专家的使用 7 7.4人员记录 7 7.5外包. 7 8信息要求 7 8.1可公开获取的信息、 7 8.2认证文件 7 8.3获证客户组织名录 . 8 8.4认证的引用和标志的使用 8 8.5保密性 8 8.6认证机构与其客户组织间的信息交换 8 9过程要求.- 8 9.1通用要求 8 9.2初次审核与认证 10 9.3监督活动 13 9.4再认证. 13 9.5特殊审核 14 9.6暂停、撤销或缩小认证范围 14 9.7申诉 、 14 9.8 .14 9.9申请组织和客户组织的记录. ....14 10认证机构的管理体系要求. ....14 10.1可选方式 ..14 10.2方式一:按照GB/T19001-2000的管理体系要求.... ....14 10.3方式二:通用的管理体系要求 ..14 附录A(资料性附录)客户组织复杂性和行业特定方面的分析. ...15 附录B(资料性附录)审核员能力的示例 ...18 附录C(资料性附录)审核时间 ..........20 附录D(资料性附录)对已实施的GB/T22080-2008附录A的控制措施的评审指南.............23 2012年01月10日发布 2012年04月01日实施 CNAS-CC17:2012 第2页共30页 前言 本文件等同采用国际标准ISO/EC27006:2011《信息技术安全技术信息安全管理体系审核认证机 构的要求》.本文件是CNAS对信息安全管理体系认证机构的专用认可准则,与管理体系认证机构基本 认可准则CNAS-CC01:2011《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的 认可准则. 本文件的附录A、B、C和D是资料性附录. 为了便于使用,对ISO/IEC27006:2011做了下列编辑性修改: l)针对认证机构的管理时,用词汇“程序”表示“procedure'”;针对客户组织的管理时,用词汇...