CNAS-SC170-2017 信息安全管理体系认证机构认可方案（2023第二次修订版）

CNAS-SC170信息安全管理体系认证机构认可方案AccreditationSchemeforISMSCertificationBodies中国合格评定国家认可委员会CNAS-SC170:2017 3 4 4 4 5 5 5 5 6 6 7 7 7 7 8 8 8 8 9 19CNAS-SC170:2017信息安全管理体系认证机构认可方案认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实2规范性引用文件3术语和定义注：对于ISMS，技术领域与信息安全控制措4ISMS认证机构认可规范的构成R.1认可申请）；R.2预访问R.3初次认可的见证评审R.4认证业务范围的认可b)根据该大类和相关中类的能力需求分析，以）；R.4.3认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系CNAS认可标识的认证证书。此外，对于一级风险的中类，认证机构还应在该大类中配备认证能力的情况进行评审（包括在见证时优先选取风险等级高的中类并依据R.5其他C.1认证协议（CNAS-CC01条款5.1.2）C.2风险评估和责任安排（CNAS-CC01条款5.3.1）C.3ISMS认证证书（CNAS-CC01条款8.2.2、CNAS-CC170条款8.2.1）C.4保密（CNAS-CC01条款8.4、CNAS-CC170条款8.4.1）C.4.4审核组成员不宜在审核过程中以任何C.4.5认证机构应为包含客户保密或敏感信息C.5ISMS的变化（CNAS-CC01条款8.5.3）C.6认证申请（CNAS-CC01条款9.1.2）C.6.1认证机构应确保客户符合工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全管理C.6.2认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录或C.7认证审核相关要求（CNAS-CC01条款9.3至条款9.9）ISMS初次认证审核的第一阶段审核宜包括在客户现C.8认证机构的管理体系（CNAS-CC01条款10.1、CANS-CC170条款G.1ISMS认证机构能力分析和评价系统指南b)应用知识/技能所要实现的结果。它与人员所承担的承担认证职能知识和技能实施申请评审审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定审核和领导审核组业务管理实践的知识√审核原则、实践和技巧的知识√√ISMS标准和规范的知识√√√认证机构过程的知识√√√客户的业务领域的知识√√√客户的产品、过程和组织的知识√√√与客户组织中的各个层级相适应的语言技能√作记录和撰写报告的技能√表达技能√面谈技能√审核管理技能√承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识/技能水G.1.1.2.2.1通用信息安全技术领域和通用信息G.1.1.2.2.2认证机构宜确定通用信息安全技术由于风险和复杂性水平、知识水平可以有不同的分级方式，表G实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定领导审核组**********************b)技术领域的分类和专业能力要求的确定和调认证业务范围(1)能力需求分析(1)认证业务范围专业能力需求(2)来自审核的相关反馈审核指导来自审核的相关反馈审核指导文件(4)能力提能力提升和补充(5)人员能力评价(3)特定客户组织专业能力需求分析具备能力？特定客户组织专业能力需求分析具备能力？是特定客户组织涉及的技术领域类别和专业能力及的技术领域类别和专业能力人力资源过程(6)选择和使用对特定客户组织实施审核和认证的人员(6)输入或输出判定(7)能力的持续监视(7)b)基于典型的业务流程和信息处理流程，分析典型信息处理流程(3)典型资产典型信息处理流程(3)典型资产(1)业务活动要求(1)(5)(4)典型业务流程法规要求(2)典型信息(5)(4)典型业务流程法规要求(2)典型信息(6)典型信息资产的典型信息安全特性合同/(6)典型信息资产的典型信息安全特性安全风险(7)信息安全技术的典型应用(7)信息安全技术的典型应用控制措施G.1.3.2.1认证机构在对特定客户实施申请评审时，宜根据该客户的具体情况以及G.1.3.2.2由于技术领域的分类和专业能力要求主要在认证业务），G.1.3.2.3特定客户的能力需求分析由申请评审人员实施。由于申请评审人员的能G.1.4.1能力评价是获取被评价人能力的证据，并将能力的证据与能力要求进行比G.1.4.2能力的证据宜与能力要求的内容相关，）；b)评价的目的，例如：初次聘用、持续监视、b)意见反馈：通过被评价人的工作单位、同事附录A（规范性附录）ISMS认证机构认证业务范围分类与分级大类描述备注政务01.01一01.02一税务机关01.03一海关01.04二其他公共02.01一通信、广播电视02.02一新闻出版02.03二科研02.04二社会保障02.05二医疗服务02.06三教育02.07三其他理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等）商务03.01一金融03.02一03.03一物流03.04三咨询中介03.05三旅游、宾馆、饭店03.06三其他产品的生产04.01一04.02一铁路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通运输04.08二信息与通信技术04.09二冶金04.10二采矿04.11二食品、药品、烟草04.12三农、林、牧、副、渔业04.13三其他注1：CNAS提出ISMS认证机构认证业务范围分类是为了在规范的框架下对认证机构的能力实施评审，并相应地限定其认可范围，以促使ISMS认证活动规范、有序地发展，控制认可风险；同时给各认证机构开展能力分析和评价提供一致的框架。该分类并不意味着CNAS批准认证机构可以对每个类别中的任何组织实施认证活动。注2：CNAS考虑到ISMS相关技术和知识与组织的业务活动具有相关性，组织相关方和业内专家，通过讨论和划分ISMS认证组织业务活动的类型，提出了认证业务范围分类。该分类基于我国ISMS认证和认可活动当前的实践和经验，注意涵盖了我国信息安全等级保护的重点领域，例如：广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等，同时兼顾了其他行业领域。注3：由于ISMS认证在世界范围内仍处于发展阶段，我国ISMS认证的数量以及涉及的业务活动类型都还有限，所以认证业务范围中组织业务活动类型的划分方式仍需随着我国ISMS认证的发展和经验的增加不断改进。因此认证机构不宜直接将认证业务范围分类作为业务应用技术领域分类，而需要以其为框架进一步分析和确定业务应用技术领域。注4：认证业务范围分级是为了使CNAS在确定认证业务范围的评审方式时考虑相关的风险，从而对认证机构业务活动的扩展进行控制，降低认可风险。这里的风险是指CNAS认可的风险，即CNAS认可的ISMS认证机构所认证的组织的信息安全发生问题时，连带使CNAS声誉受损或承担责任的风险。每个中类的级别主要考虑了在该中类信息安全对于国家安全、社会秩序、公共利益、组织及其相关方合法权益的重要性的典型情况。附录B（资料性附录）通用信息安全技术领域和通用信息技术领域——参考分类、知识点及应用.风险评估报告的内容（重要资产、主要脆和