CNAS CNAS-SC18 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 2012年04月01日发布 2015年07月15日第二次修订 2015年12月16日实施 CNAS-SC18:2012 第2页共28页 目次 前言 3 1范围 4 2规范性引用文件 4 3术语和定义 4 4ISMS认证机构认可规范的构成 .5 R.1认可申请 5 R.2预访问 .5 R.3初次认可的见证评审. .6 R.4认证业务范围的认可 6 R.5 其他 .7 C.1认证协议 7 C.2风险评估和责任安排 1 C.31SMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件7 C.4ISMS认证证书 ...8 C.5保密 8 C.61SMS的变化 .8 C.7已认可的ISMS认证的转换 .9 C.8认证申请 9 C.9认证审核相关要求 .9 C.10认证机构的信息安全管理体系. ..9 G.1ISMS认证机构能力分析和评价系统指南 ..10 G2ISMS审核范围和认证范围界定指南.. .17 G.3ISMS审核时间确定指南 ...20 附录A(规范性附录)ISMS认证机构认证业务范围分类与分级 附录B(资料性附录) 通用信息安全技术领域和通用信息技术领域一参考分类、知识点及应用24 2012年04月01日发布 2015年07月15日第二次修订 2015年12月16日实施 CNAS-SC18:2012 第3页共28页 前言 本文件由中国合格评定国家认可委员会(CNAS)制定. 本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南, 并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可. 本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议. 本文件2012年首次发布,2015年两次修订主要进行了以下编辑性调整: 1)4.2条款a)和h) 分别更新了CNAS-R01和CNAS-R07的文件名称; 2)R.5.1条款,调整了该条款的阐述方式; 3)R.5.2条款,更新对CNAS-RC03相关条款的引用; 4)更新了本文件对CNAS-CC01:2015相关条款的引用; 5)第3章,增加了对CNAS-CC01的引用,同时删除了“能力”和“技术领域” 两个术语; 6)G.1条款,根据CNAS-CC01附录A的表A.1调整了表G.1. 2012年04月01日发布 2015年07月15日第二次修订 2015年12月16日实施 ...