CNAS-SC170信息安全管理體系認證機構(gòu)認可方案AccreditationSchemeforISMSCertification中國合格評定國家認可委員會CNAS-SC170:2017 3 4 4 4 5 5 5 5 6 6 7 7 7 7 7 8 8 8 8 9 9 CNAS-SC170:2017信息安全管理體系認證機構(gòu)認可方案注：對于ISMS，技術(shù)領(lǐng)域與信息安全控制措）；b)根據(jù)該大類和相關(guān)中類的能力需求分析，以適宜）；R.4.2CNAS對ISMS認證機R.4.3認證機構(gòu)應確保運用能力分析和評價系統(tǒng)為該大類的每次認證活動配備所需體系認證安全管理的通知》的要求以及有關(guān)主管部門/監(jiān)管部門對信息安全管理體系CNAS認可標識的認證證書。此外，對于一級風險的中類，認證機構(gòu)還應在該大類中C.5.4審核組成員不宜在審核過程中審核組在離開受審核客戶前，宜請受審核客戶檢查和確認審核組攜帶的文件、資料和C.5.5認證機構(gòu)應為包含客戶保密或敏感信息C.8.1認證機構(gòu)應確?？蛻舴瞎ば挪柯?lián)協(xié)[2010]394號文《關(guān)于加強信息安全管理體系認證安全管理的通知》的要求，以及有關(guān)主管部門/監(jiān)管部門對信息安全管理C.8.2認證機構(gòu)宜要求客戶向其說明適用的關(guān)于認證機構(gòu)的資質(zhì)、誠信守法記錄或ISMS初次認證審核的第一階段審核宜包括在客b)應用知識/技能所要實現(xiàn)的結(jié)果。它與人員所承擔的職能有承擔認證職能知識和技能實施申請評審以確定所需的審核組能力、選擇審核組成員和確定審核時間復核審核報告和做出認證決定審核和領(lǐng)導審核組業(yè)務管理實踐的知識√審核原則、實踐和技巧的知識√√ISMS標準和規(guī)范的知識√√√認證機構(gòu)過程的知識√√√客戶的業(yè)務領(lǐng)域的知識√√√客戶的產(chǎn)品、過程和組織的知識√√與客戶組織中的各個層級相適應的語言技能√作記錄和撰寫報告的技能√承擔認證職能知識和技能實施申請評審以確定所需的審核組能力、選擇審核組成員和確定審核時間復核審核報告和做出認證決定審核和領(lǐng)導審核組表達技能√面談技能√審核管理技能√承擔同種職能的人員在不同的認證活動風險和復雜性水平下需要具有的知識/技能水G.1.1.2.2.1通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)G.1.1.2.2.2認證機構(gòu)宜確定通用信息安全技術(shù)領(lǐng)域由于風險和復雜性水平、知識水平可以有不同的分級方式，表G.2僅用“*”的數(shù)量實施申請評審以確定所需的審核組能力、選擇審核組成員和確定審核時間復核審核報告和做出認證決定領(lǐng)導審核組**********************b)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整：認證業(yè)務范圍(1)能力需求分析(1)認證業(yè)務范圍專業(yè)能力需求(2)來自審核的相關(guān)反饋審核指導來自審核的相關(guān)反饋審核指導文件(4)能力提能力提升和補充(5)人員能力評價(3)特定客戶組織專業(yè)能力需求分析具備能力？特定客戶組織專業(yè)能力需求分析具備能力？是特定客戶組織涉及的技術(shù)領(lǐng)域類別和專業(yè)能力及的技術(shù)領(lǐng)域類別和專業(yè)能力人力資源過程(6)選擇和使用對特定客戶組織實施審核和認證的人員(6)輸入或輸出判定(7)能力的持續(xù)監(jiān)視(7)b)基于典型的業(yè)務流程和信息處理流程，分析典型信息處理流程(3)(5)典型信息處理流程(3)(5)典型資產(chǎn)(1)業(yè)務活動要求(1)(4)典型業(yè)務流程法規(guī)要求(2)典型信息(4)典型業(yè)務流程法規(guī)要求(2)(6)合同/相關(guān)方要求(6)典型信息資產(chǎn)的典型信息安全特性典型信息資產(chǎn)的典型信息安全特性安全風險(7)信息安全技術(shù)的典型應用(7)信息安全技術(shù)的典型應用控制措施G.1.3.2.1認證機構(gòu)在對特定客戶實施申請評審時，宜根據(jù)該客戶的具體情況以及G.1.3.2.2由于技術(shù)領(lǐng)域的分類和專業(yè)能力要求主要在認證業(yè)務G.1.3.2.3特定客戶的能力需求分析由申請評審人員實施。由于申請評審人員的能G.1.4.1能力評價是獲取被評價人能力的證據(jù)，并將能力的證據(jù)與能力要求進行比G.1.4.2能力的證據(jù)宜與能力要求的內(nèi)容相關(guān)，b)評價的目的，例如：初次聘用、持續(xù)監(jiān)視、b)意見反饋：通過被評價人的工作單位、同事或客大類描述備注政務01.01一01.02一稅務機關(guān)01.03一海關(guān)01.04二其他公共02.01一通信、廣播電視02.02一新聞出版02.03二科研02.04二社會保障02.05二醫(yī)療服務02.06三教育02.07三其他理、燃氣生產(chǎn)和供應、熱力生產(chǎn)和供應、城市水陸交通設(shè)施的維護管理等）商務03.01一金融03.02一03.03一物流03.04三咨詢中介03.05三旅游、賓館、飯店03.06三其他產(chǎn)品的生產(chǎn)04.01一04.02一鐵路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通運輸04.08二信息與通信技術(shù)04.09二冶金04.10二采礦04.11二食品、藥品、煙草04.12三農(nóng)、林、牧、副、漁業(yè)04.13三其他注1：CNAS提出ISMS認證機構(gòu)認證業(yè)務范圍分類是為了在規(guī)范的框架下對認證機構(gòu)的能力實施評審，并相應地限定其認可范圍，以促使ISMS認證活動規(guī)范、有序地發(fā)展，控制認可風險；同時給各認證機構(gòu)開展能力分析和評價提供一致的框架。該分類并不意味著CNAS批準認證機構(gòu)可以對每個類別中的任何組織實施認證活動。注2：CNAS考慮到ISMS相關(guān)技術(shù)和知識與組織的業(yè)務活動具有相關(guān)性，組織相關(guān)方和業(yè)內(nèi)專家，通過討論和劃分ISMS認證組織業(yè)務活動的類型，提出了認證業(yè)務范圍分類。該分類基于我國ISMS認證和認可活動當前的實踐和經(jīng)驗，注意涵蓋了我國信息安全等級保護的重點領(lǐng)域，例如：廣播電視網(wǎng)、通信網(wǎng)、金融銀行、電力、鐵路、民航、石油化工等，同時兼顧了其他行業(yè)領(lǐng)域。注3：由于ISMS認證在世界范圍內(nèi)仍處于發(fā)展階段，我國ISMS認證的數(shù)量以及涉及的業(yè)務活動類型都還有限，所以認證業(yè)務范圍中組織業(yè)務活動類型的劃分方式仍需隨著我國ISMS認證的發(fā)展和經(jīng)驗的增加不斷改進。因此認證機構(gòu)不宜直接將認證業(yè)務范圍分類作為業(yè)務應用技術(shù)領(lǐng)域分類，而需要以其為框架進一步分析和確定業(yè)務應用技術(shù)領(lǐng)域。注4：認證業(yè)務范圍分級是為了使CNAS在確定認證業(yè)務范圍的評審方式時考慮相關(guān)的風險，從而對認證機構(gòu)業(yè)務活動的擴展進行控制，降低認可風險。這里的風險是指CNAS認可的風險，即CNAS認可的ISMS認證機構(gòu)所認證的組織的信息安全發(fā)生問題時，連帶使CNAS聲譽受損或承擔責任的風險。每個中類的級別主要考慮了在該中類信息安全對于國家安全、社會秩序、公共利益、組織及其相關(guān)方合法權(quán)益的重要性的典型情況。和