CNAS-SC170信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案AccreditationSchemeforISMSCertificationBodies中國合格評(píng)定國家認(rèn)可委員會(huì)CNAS-SC170:2017 3 4 4 4 5 5 5 5 6 6 7 7 7 7 8 8 8 8 9 19CNAS-SC170:2017信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案認(rèn)證機(jī)構(gòu)實(shí)施評(píng)審和認(rèn)可的一致性，指導(dǎo)申請(qǐng)和獲得認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)理解和實(shí)2規(guī)范性引用文件3術(shù)語和定義注：對(duì)于ISMS，技術(shù)領(lǐng)域與信息安全控制措4ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的構(gòu)成R.1認(rèn)可申請(qǐng)）；R.2預(yù)訪問R.3初次認(rèn)可的見證評(píng)審R.4認(rèn)證業(yè)務(wù)范圍的認(rèn)可b)根據(jù)該大類和相關(guān)中類的能力需求分析，以）；R.4.3認(rèn)證機(jī)構(gòu)應(yīng)確保運(yùn)用能力分析和評(píng)價(jià)系統(tǒng)為該大類的每次認(rèn)證活動(dòng)配備所需體系認(rèn)證安全管理的通知》的要求以及有關(guān)主管部門/監(jiān)管部門對(duì)信息安全管理體系CNAS認(rèn)可標(biāo)識(shí)的認(rèn)證證書。此外，對(duì)于一級(jí)風(fēng)險(xiǎn)的中類，認(rèn)證機(jī)構(gòu)還應(yīng)在該大類中配備認(rèn)證能力的情況進(jìn)行評(píng)審（包括在見證時(shí)優(yōu)先選取風(fēng)險(xiǎn)等級(jí)高的中類并依據(jù)R.5其他C.1認(rèn)證協(xié)議（CNAS-CC01條款5.1.2）C.2風(fēng)險(xiǎn)評(píng)估和責(zé)任安排（CNAS-CC01條款5.3.1）C.3ISMS認(rèn)證證書（CNAS-CC01條款8.2.2、CNAS-CC170條款8.2.1）C.4保密（CNAS-CC01條款8.4、CNAS-CC170條款8.4.1）C.4.4審核組成員不宜在審核過程中以任何C.4.5認(rèn)證機(jī)構(gòu)應(yīng)為包含客戶保密或敏感信息C.5ISMS的變化（CNAS-CC01條款8.5.3）C.6認(rèn)證申請(qǐng)（CNAS-CC01條款9.1.2）C.6.1認(rèn)證機(jī)構(gòu)應(yīng)確保客戶符合工信部聯(lián)協(xié)[2010]394號(hào)文《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的要求，以及有關(guān)主管部門/監(jiān)管部門對(duì)信息安全管理C.6.2認(rèn)證機(jī)構(gòu)宜要求客戶向其說明適用的關(guān)于認(rèn)證機(jī)構(gòu)的資質(zhì)、誠信守法記錄或C.7認(rèn)證審核相關(guān)要求（CNAS-CC01條款9.3至條款9.9）ISMS初次認(rèn)證審核的第一階段審核宜包括在客戶現(xiàn)C.8認(rèn)證機(jī)構(gòu)的管理體系（CNAS-CC01條款10.1、CANS-CC170條款G.1ISMS認(rèn)證機(jī)構(gòu)能力分析和評(píng)價(jià)系統(tǒng)指南b)應(yīng)用知識(shí)/技能所要實(shí)現(xiàn)的結(jié)果。它與人員所承擔(dān)的承擔(dān)認(rèn)證職能知識(shí)和技能實(shí)施申請(qǐng)?jiān)u審審核組能力、選擇審核組成員和確定審核時(shí)間復(fù)核審核報(bào)告和做出認(rèn)證決定審核和領(lǐng)導(dǎo)審核組業(yè)務(wù)管理實(shí)踐的知識(shí)√審核原則、實(shí)踐和技巧的知識(shí)√√ISMS標(biāo)準(zhǔn)和規(guī)范的知識(shí)√√√認(rèn)證機(jī)構(gòu)過程的知識(shí)√√√客戶的業(yè)務(wù)領(lǐng)域的知識(shí)√√√客戶的產(chǎn)品、過程和組織的知識(shí)√√√與客戶組織中的各個(gè)層級(jí)相適應(yīng)的語言技能√作記錄和撰寫報(bào)告的技能√表達(dá)技能√面談技能√審核管理技能√承擔(dān)同種職能的人員在不同的認(rèn)證活動(dòng)風(fēng)險(xiǎn)和復(fù)雜性水平下需要具有的知識(shí)/技能水G.1.1.2.2.1通用信息安全技術(shù)領(lǐng)域和通用信息G.1.1.2.2.2認(rèn)證機(jī)構(gòu)宜確定通用信息安全技術(shù)由于風(fēng)險(xiǎn)和復(fù)雜性水平、知識(shí)水平可以有不同的分級(jí)方式，表G實(shí)施申請(qǐng)?jiān)u審以確定所需的審核組能力、選擇審核組成員和確定審核時(shí)間復(fù)核審核報(bào)告和做出認(rèn)證決定領(lǐng)導(dǎo)審核組**********************b)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)認(rèn)證業(yè)務(wù)范圍(1)能力需求分析(1)認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求(2)來自審核的相關(guān)反饋審核指導(dǎo)來自審核的相關(guān)反饋審核指導(dǎo)文件(4)能力提能力提升和補(bǔ)充(5)人員能力評(píng)價(jià)(3)特定客戶組織專業(yè)能力需求分析具備能力？特定客戶組織專業(yè)能力需求分析具備能力？是特定客戶組織涉及的技術(shù)領(lǐng)域類別和專業(yè)能力及的技術(shù)領(lǐng)域類別和專業(yè)能力人力資源過程(6)選擇和使用對(duì)特定客戶組織實(shí)施審核和認(rèn)證的人員(6)輸入或輸出判定(7)能力的持續(xù)監(jiān)視(7)b)基于典型的業(yè)務(wù)流程和信息處理流程，分析典型信息處理流程(3)典型資產(chǎn)典型信息處理流程(3)典型資產(chǎn)(1)業(yè)務(wù)活動(dòng)要求(1)(5)(4)典型業(yè)務(wù)流程法規(guī)要求(2)典型信息(5)(4)典型業(yè)務(wù)流程法規(guī)要求(2)典型信息(6)典型信息資產(chǎn)的典型信息安全特性合同/(6)典型信息資產(chǎn)的典型信息安全特性安全風(fēng)險(xiǎn)(7)信息安全技術(shù)的典型應(yīng)用(7)信息安全技術(shù)的典型應(yīng)用控制措施G.1.3.2.1認(rèn)證機(jī)構(gòu)在對(duì)特定客戶實(shí)施申請(qǐng)?jiān)u審時(shí)，宜根據(jù)該客戶的具體情況以及G.1.3.2.2由于技術(shù)領(lǐng)域的分類和專業(yè)能力要求主要在認(rèn)證業(yè)務(wù)），G.1.3.2.3特定客戶的能力需求分析由申請(qǐng)?jiān)u審人員實(shí)施。由于申請(qǐng)?jiān)u審人員的能G.1.4.1能力評(píng)價(jià)是獲取被評(píng)價(jià)人能力的證據(jù)，并將能力的證據(jù)與能力要求進(jìn)行比G.1.4.2能力的證據(jù)宜與能力要求的內(nèi)容相關(guān)，）；b)評(píng)價(jià)的目的，例如：初次聘用、持續(xù)監(jiān)視、b)意見反饋：通過被評(píng)價(jià)人的工作單位、同事附錄A（規(guī)范性附錄）ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類與分級(jí)大類描述備注政務(wù)01.01一01.02一稅務(wù)機(jī)關(guān)01.03一海關(guān)01.04二其他公共02.01一通信、廣播電視02.02一新聞出版02.03二科研02.04二社會(huì)保障02.05二醫(yī)療服務(wù)02.06三教育02.07三其他理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等）商務(wù)03.01一金融03.02一03.03一物流03.04三咨詢中介03.05三旅游、賓館、飯店03.06三其他產(chǎn)品的生產(chǎn)04.01一04.02一鐵路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通運(yùn)輸04.08二信息與通信技術(shù)04.09二冶金04.10二采礦04.11二食品、藥品、煙草04.12三農(nóng)、林、牧、副、漁業(yè)04.13三其他注1：CNAS提出ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類是為了在規(guī)范的框架下對(duì)認(rèn)證機(jī)構(gòu)的能力實(shí)施評(píng)審，并相應(yīng)地限定其認(rèn)可范圍，以促使ISMS認(rèn)證活動(dòng)規(guī)范、有序地發(fā)展，控制認(rèn)可風(fēng)險(xiǎn)；同時(shí)給各認(rèn)證機(jī)構(gòu)開展能力分析和評(píng)價(jià)提供一致的框架。該分類并不意味著CNAS批準(zhǔn)認(rèn)證機(jī)構(gòu)可以對(duì)每個(gè)類別中的任何組織實(shí)施認(rèn)證活動(dòng)。注2：CNAS考慮到ISMS相關(guān)技術(shù)和知識(shí)與組織的業(yè)務(wù)活動(dòng)具有相關(guān)性，組織相關(guān)方和業(yè)內(nèi)專家，通過討論和劃分ISMS認(rèn)證組織業(yè)務(wù)活動(dòng)的類型，提出了認(rèn)證業(yè)務(wù)范圍分類。該分類基于我國ISMS認(rèn)證和認(rèn)可活動(dòng)當(dāng)前的實(shí)踐和經(jīng)驗(yàn)，注意涵蓋了我國信息安全等級(jí)保護(hù)的重點(diǎn)領(lǐng)域，例如：廣播電視網(wǎng)、通信網(wǎng)、金融銀行、電力、鐵路、民航、石油化工等，同時(shí)兼顧了其他行業(yè)領(lǐng)域。注3：由于ISMS認(rèn)證在世界范圍內(nèi)仍處于發(fā)展階段，我國ISMS認(rèn)證的數(shù)量以及涉及的業(yè)務(wù)活動(dòng)類型都還有限，所以認(rèn)證業(yè)務(wù)范圍中組織業(yè)務(wù)活動(dòng)類型的劃分方式仍需隨著我國ISMS認(rèn)證的發(fā)展和經(jīng)驗(yàn)的增加不斷改進(jìn)。因此認(rèn)證機(jī)構(gòu)不宜直接將認(rèn)證業(yè)務(wù)范圍分類作為業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域分類，而需要以其為框架進(jìn)一步分析和確定業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域。注4：認(rèn)證業(yè)務(wù)范圍分級(jí)是為了使CNAS在確定認(rèn)證業(yè)務(wù)范圍的評(píng)審方式時(shí)考慮相關(guān)的風(fēng)險(xiǎn)，從而對(duì)認(rèn)證機(jī)構(gòu)業(yè)務(wù)活動(dòng)的擴(kuò)展進(jìn)行控制，降低認(rèn)可風(fēng)險(xiǎn)。這里的風(fēng)險(xiǎn)是指CNAS認(rèn)可的風(fēng)險(xiǎn)，即CNAS認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)所認(rèn)證的組織的信息安全發(fā)生問題時(shí)，連帶使CNAS聲譽(yù)受損或承擔(dān)責(zé)任的風(fēng)險(xiǎn)。每個(gè)中類的級(jí)別主要考慮了在該中類信息安全對(duì)于國家安全、社會(huì)秩序、公共利益、組織及其相關(guān)方合法權(quán)益的重要性的典型情況。附錄B（資料性附錄）通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域——參考分類、知識(shí)點(diǎn)及應(yīng)用.風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容（重要資產(chǎn)、主要脆和