CNAS CNAS-CC170 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第1页共37页 目次 目次. 1 前言 3 引言 4 1范围. 5 2规范性引用文件 5 3术语和定义 * 5 4原则...................... 5 5通用要求... 5 5.1法律与合同事宜. 5 5.2公正性的管理.... 5 5.3责任和财力. 6 6结构要求...... 6 7资源要求 6 7.1人员能力. 6 7.2参与认证活动的人员.. ...9 7.3外部审核员和外部技术专家的使用10 7.4人员记录.. . . .10 7.5外包........ 8信息要求.. .........10 8.1公开信息.......... ..10 8.2认证文件.......... .....11 8.3认证的引用和标志的使用.. ........11 8.4保密.. ...11 8.5认证机构与其客户间的信息交换11 9过程要求...... .11 9.1认证前的活动.11 9.2 策划审核 9.3初次认证............ 9.4实施审核16 9.5认证决定... * .17 9.6保持认证...... ....17 9.7申诉... .............18 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第2页共37页 9.8 .. 18 9.9客户的记录.................... ...18 10认证机构的管理体系要求. 18 10.1可选方式..................... .....18 10.2方式A:通用的管理体系要求.........19 10.3方式B:与GB/T19001一致的管理体系要求.......19 附录A(资料性附录)ISMS审核与认证的知识与技能.20 附录B(规范性附录)审核时间.22 附录C(资料性附录)审核时间计算方法.......27 附录D(资料性附录)对已实施的ISO/IEC27001:2013附录A的控制的评审指南.31 参考文献.................. .......
CNAS-CC170-2015 信息安全管理体系认证机构要求.pdf
