CNAS-CC17-2012 信息安全管理体系认证机构要求

2012年01月10日发布2012年04月01日实施中国合格评定国家认可委员会 2 3 4 4 4 4 5 5 5 5 5 5 5 5 5 6 7 7 7 7 7 7 8 8 8 8 8 8 CNAS-CC17:2012本文件等同采用国际标准ISO/IEC27006:2011《信息技术安全技术信息安全管理认可准则CNAS-CC01:2011《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的1)针对认证机构的管理时，用词汇“程序”表示“procedur“规程”表示“procedure”；CNAS-CC17:2012CNAS-CC01:2011(等同采用ISO/IE则。如果管理体系认证机构按照GB/T22080-2008《信息技术安全技术信息安全管理体系要求》CNAS-CC01:2011获得认可，对CNAS-CC01:2011补充一些要求和指南是必要的。本文件提供了这样的贯穿本文件全文，使用“应”（shall）这一术语，以表示本文件中与CNAS-CC01:2011和GB/T22080-2008的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should）这一术语表示本文件的一个目的是确保以一致的方式按照相关准则或标准对信息安全管理体系认证机构实施评CNAS-CC17:2012本文件对实施信息安全管理体系（以下简称“ISMS”）审核和认证的机构提出要求并提供指南，以作为对CNAS-CC01:2011和GB/T22080-CNAS-CC17:2012CNAS-CC17:2012认证机构应有审核组的培训准则，以确保审核组：7.2.1.1.1当为特定认证审核选择指派审核组时，认证机构应确保审a）针对拟认证的ISMS范围内的特定活动b）充分理解客户组织，以便对（管理客户组织活动、产品和服CNAS-CC17:2012认证机构应要求客户组织具有一个文件化并且已实施的符合GB/T2CNAS-CC17:2012客户组织的ISMS接受审核的准则应是ISMSCNAS-CC17:2012d）在ISMS各部分的实施过程中，所应用的本文件的附录C对审核时间提供指南。认证机构应能9.1.4.1在ISMS认证领域，有关多场所的抽样决定比质量管b）审核组向认证机构提供关于审核发现的审核）；c）已识别的任何不符合的详细情况，包括支持它们的客观证据和这些不符合所涉及的GB/Ta）在以下每个方面，至少应有一名审核组成员满足认证机构能力准则并在审核组内承担相应责认证机构应让客户组织意识到在第二阶段的审核中，可能需要进一步提供9.2.3.2.1第二阶段审核在客户组织的场所进行。认证机构以第一阶段的审核报告中的形成文件的审核发为给认证决定提供依据，认证机构应要求审核组向其提供是否授予客户组织ISMS认证的决定是由认证机构以监督的目的是验证已被认证的ISMS的持续实施、考虑由于客户组织运作的变化所造成的管理体系认证机构应具有规定了保持认证的环境和条件的清楚程序。如果在监督或再认证审核中，发现不符合存在，该不符合在认证机构同意的时间内应得到有效的纠正。如果纠正没有在同意的时间内完成，认证范围应被缩小，或者暂停或撤销认证证书。允许采取纠正措施的时间应与如果已经通过ISMS认证的客户组织对其管理体系做重大修改，或者发生影响其认证基础的其他变通过分别地使用复杂性准则（见表A.1以及利用一些不同的因素，有关I高中低雇员+签约管理信息系统与生产管理有关的系统销售/物流/一般服务相关的信息技术/信息服务和有关与建筑/造船/设备工程有关财务系统政府、学校、医学/医院系统1物理与环境安全（GB/T物理与环境安全（GB/T通信与操作管理（GB/T高中低式计算机的字签名和PKI通信与操作管理（GB/T访问控制（GB/T22080法律和指南（GB/T险 法律和指南（GB/T任何其他商业敏感/关键信息，例如，研发信息、设计信息、客户组织详细信息、财务结果政府的供应商和生产商持有的信息，例如，信息通信技术（ICT人力资源部门所使用的过程与规程的通用知识和经验CNAS-CC17:2012件和（或）过程控制、纠正和（或）预防措施、信息系统、IT系统、网络等，而无论他们是）；CNAS-CC17:2012），ISMS范围的因素的重要性对该基数进行调整，对每一因素赋予增、减2353746567889>10700CNAS-CC17:2012如果使用了远程审核技术（例如，交互式基于网络的协作、网络会议、电话会议和/或组织过程的如果认证机构审核计划中远程审核活动占据大于30%的现场审核时间，认证机构宜有理由证明审果。再认证审核所需的时间宜与同一组织的初次认证审核所用的时间成比例，大约是初次认证）；）；CNAS-CC17:2012）；CNAS-CC17:2012认证审核和后续监督审核中对它们的执行情况收集审核证选择的所有控制措施的实施需要在初次认证审核的第二阶段审核以及监督审核或再认证审核活动中进措施直接测试（或重新实施）的结果[例如，试图执行被控制措施所禁止的任务、机器上预防恶意代码的软件是否安装并是最新的、授予的访问权（在检查完职权人员之后）等]。可通过与雇员和（或）签D.2.1“组织类控制措施”列与“技术类CNAS-CC17:2012A.6.1.4信息处理设施的授权过程从文件的复印件中抽样A.6.2.1与外部各方相关风险的A.6.2.2处理与顾客有关的安全A.6.2.3处理第三方协议中的安件CNAS-CC17:2012训A.9.1.4外部和环境威胁的安全A.9.2.6设备的安全处置或再利用审CNAS-CC17:2012