CNAS-SC170：2024 信息安全管理体系认证机构认可方案.pdf

CNAS CNAS-SC170 信息安全管理体系认证机构认可方案 AccreditationSchemeforISMSCertificationBodies 中国合格评定国家认可委员会 2024年9月30日发布 2024年9月30日实施
CNAS-SC170:2024 第2页共8页 目次 前言.. 3 1 范围.. 4 2 规范性引用文件. 3 术语和定义. 4 4 ISMS认证机构认可规范的构成.. 4 R部分... 5 R.1 认证业务范围的认可. 5 R.2 见证评审. 5 R.3对认证机构客户的信息及其相关资产的访问安排， 5 C部分 5 C.1 认证协议（CNAS-CC01:20155.1.2） 5 C.2 客户记录的获取（CNAS-CC170:20248.4.2） 6 C.3 ISMS的变化（CNAS-CC01:20158.5.3） 6 C.4认证申请（CNAS-CC01:20159.1.1）. 6 C.5初次认证第一阶段（CNAS-CC01:20159.3.1.2） 6 C.6认证机构的管理体系（CNAS-CC170:202410.1.2） 6 附录A（规范性附录）ISMS认证机构认证业务范围分类与分级. 2024年9月30日发布 2024年9月30日实施
CNAS-SC170:2024 第3页共8页 前言 本文件由中国合格评定国家认可委员会（CNAS）制定.

本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南， 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议.

本文件代替了CNAS-SC170:2017.

2024年9月30日发布 2024年9月30日实施
CNAS-SC170:2024 第4页共8页 信息安全管理体系认证机构认可方案 1范围 1.1为确保CNAS对实施ISO/IEC27001认证的信息安全管理体系（以下称为"ISMS"） 认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实 施认可规范要求，特制定本文件.

1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于 CNAS对ISMS认证机构的认可.

1.3本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明.

2规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款.

以下引用的文件，注 明日期的，仅引用的版本适用：未注明日期的，引用文件的最新版本（包括任何修订） 适用.

CNAS-RC01《认可标识使用和认可状态声明规则》 CNAS-CC01《管理体系认证机构要求》 CNAS-CC170《信息安全管理体系认证机构要求》 3术语和定义 CNAS-CC01、CNAS-CC170和CNAS-RC01中的术语和定义适用于本文件.

4ISMS认证机构认可规范的构成 本文件与下列文件共同组成ISMS认证机构认可规范 -CNAS-R01《认可标识使用和认可状态声明规则》 -CNAS-R02《公正性和保密规则》 -CNAS-R03《申诉、和争议处理规则》 -CNAS-RC01《认证机构认可规则》 -CNAS-RC02《认证机构认可资格处理规则》 -CNAS-RC03《认证机构信息通报规则》 -CNAS-RC04《认证机构认可收费管理规则》 -CNAS-RC05《多场所认证机构认可规则》 -CNAS-RC07《具有境外场所的认证机构认可规则》 2024年9月30日发布 2024年9月30日实施
CNAS-SC170:2024 第5页共8页 -CNAS-CC01《管理体系认证机构要求》 -CNAS-CC11《多场所组织的管理体系审核与认证》 -CNAS-CC12《已认可的管理体系认证的转换》 -CNAS-CC14《信息和通信技术（ICT）在审核中应用》 -CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》 -CNAS-CC170《信息安全管理体系认证机构要求》 R部分 R.1认证业务范围的认可 R.1.1附录A规定了ISMS认证机构认证业务范围分类与分级.

R.1.2CNAS按附录A的业务范围分类进行认可.

注：认证机构应在提交认可申请时明确拟申请的业务范围，包括相应的大类或中类.

R.1.3CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内（不 含香港、澳门特别行政区，台湾地区）的各级政府机关、政府信息系统运行单位和涉 密信息系统建设使用单位.

R.2见证评审 R.2.1初次认可时，CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核和 第二阶审核.

R.2.2认证业务范围认可的见证评审要求 1）附录A中每个大类的一级中类分别为一个独立的需强制见证组别，CNAS在每 个大类中选取某个一级中类实施见证评审.

2）附录A中的二级和三级中类为一个非强制见证组别，适用时，CNAS优先选取 该见证组别中风险级别高的某一中类实施见证评审.

R.2.3获认可后的见证评审要求 1）对于已获得认可资格的认证机构，CNAS每年进行至少一次见证评审.

2）在每个完整的5年认可周期内，CNAS至少对一个获认可的强制见证组别实施 1次见证评审.

当不满足完整的5年认可周期时，优先选取风险等级高的中类实施见 证.

R.3对认证机构客户的信息及其相关资产的访问安排 当认证机构的客户不同意CNAS在认可评审中访问其信息和相关资产时，认证机 构应提前告知CNAS，CNAS将根据评审所受的影响采取相应的措施.

C部分 C.1认证协议（CNAS-CC01：20155.1.2) 认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确 2024年9月30日发布 2024年9月30日实施