CNAS-SC170信息安全管理體系認證機構認可方案AccreditationSchemeforISMSCertificationBodies中國合格評定國家認可委員會 3 4 4 4 4 5 5 1認證協(xié)議（CNAS-CC01:2015512）5 2客戶記錄的獲?。–NAS-CC170:2024842）6 4認證申請（CNAS-CC01:2015911 5初次認證第一階段（CNAS-CC01:20 7CNAS-SC170:2024信息安全管理體系認證機構認可方案認證機構實施評審和認可的一致性，指導申請和獲得認可的ISMS認證機構理解和實注：認證機構應在提交認可申請時明確擬申請的業(yè)務范圍，包括相應的大類或中類。R.1.3CNAS對ISMS認證機構認C.2.2如果客戶事先沒有禁止認證機構接觸某一信息和相關資產(chǎn)，或未告知認證機C.2.3審核組成員不宜在審核過程中以任何方式記錄客戶的保密或敏感信息。審核C.4.1認證機構應確保認證申請客戶承諾遵守工信部聯(lián)協(xié)[2010]394號文《關于加強信息安全管理體系認證安全管理的通知》的要求，以及有關主管部門/監(jiān)C.4.2認證機構宜要求客戶向其說明適用的關于認證機構的資質、誠信守法記錄或C.6.2認證機構宜將自身信息安全績效作為管CNAS-SC170:2024大類描述備注政務01.01一01.02一稅務機關01.03一海關01.04二其他公共02.01一通信、廣播電視02.02一新聞出版02.03二科研02.04二社會保障02.05一醫(yī)療服務02.06三教育02.07二其他理、燃氣生產(chǎn)和供應、熱力生產(chǎn)和供應、城市水陸交通設施的維護管理等）商務03.01一金融03.02一03.03一物流03.04三咨詢中介03.05二旅游、賓館、飯店03.06三其他產(chǎn)品的生產(chǎn)04.01一04.02一鐵路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通運輸04.08二信息與通信技術04.09二冶金04.10二采礦04.11二食品、藥品、煙草04.12三農(nóng)、林、牧、副、漁業(yè)04.13三其他注1：ISMS認證機構認證業(yè)務范圍分類是為了在規(guī)范的框架下對認證機構的能力實施評審，并相應地限定其認可范圍，以促使ISMS認證活動規(guī)范、有序地發(fā)展，控制認可風險；同時給各認證機構開展能力分析和評價提供一致的框架。該分類并不意味著CNAS批準認證機構可以對每個類別中的任何組織實施認證活動。注2：認證業(yè)務范圍分為三個級別，一級最高。認證業(yè)務范圍分級是為了使CNAS在確定認證業(yè)務范CNAS-SC170:2024圍的評審方式時考慮相關的風險，從而對認證機構業(yè)務活動的擴展進行控制，降低認可風險。這里的風險是指CNAS認可的風險，即CNAS認可的ISMS認證機構所認證的組織的信息