近日,中国合格评定国家认可委员会修订并发布新版CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》,这两份文件将于2020年11月30日实施。
详情如下:
相关机构及人员:
国际标准化组织(ISO)于2020年3月27日发布了对ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》的第1号修改单(文件编号为:ISO/IEC 27006:2015/AMD.1:2020),国际认可论坛(IAF)在2020年8月3日发布了实施该修改单的决议。此外,等同采用ISO/IEC 27006:2015的国家标准GB/T 25067:2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》也已经于2020年4月28日发布。
鉴于上述情况,中国合格评定国家认可委员会(CNAS)修订了CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》,其中CNAS-CC170:2015为第二次修订,CNAS-SC170:2017为第一次修订。(修订内容简介见附件)
经批准,上述两份文件于2020年8月15日发布,2020年11月30日实施。为履行IAF的相应决议,现对上述文件的实施做如下安排:
1.自2020年8月15日起,新申请信息安全管理体系(ISMS)认可资格的认证机构应依据修订后的CNAS-CC170和CNAS-SC170提出认可申请。
2.自2020年11月30日起,CNAS将按照修订后的CNAS-CC170和CNAS-SC170对新申请和获认可的ISMS认证机构通过办公室评审来评审上述文件的实施情况。上述办公室评审活动应在2022年1月31日前结束,以确保相应的后续认可活动能在2022年3月31日之前完成。对于不能在2022年1月31日前结束的上述办公室评审活动,CNAS将根据认证机构的申请,安排一次针对本次CNAS-CC170和CNAS-SC170文件变化的办公室评审,评审时间按0.5人天计算。
修订后的两份文件可在CNAS网站“认可规范”栏目下载。请相关认证机构遵照执行。
特此通知。
中国合格评定国家认可委员会秘书处
2020年8月13日
附件:
1. CNAS-CC170:2015《信息安全管理体系认证机构要求》(2020第二次修订)修订前后内容差异对照表
|
序号
|
CNAS-CC170:2015
(2020第二次修订前)
|
2020第二次修订后
|
备注
|
||
|
条款号
|
内容
|
条款号
|
内容
|
||
|
1
|
前言
第二段
|
本文件内容及条款号与国际标准ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核认证机构的要求》内容及条款号完全一致。
|
前言
第二段
|
本文件的内容及条款号与国际标准ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》和ISO/IEC 27006:2015/AMD.1:2020内容及条款号完全一致。国家标准GB/T 25067-2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》等同采用了ISO/IEC 27006:2015;ISO/IEC 27006:2015/AMD.1:2020对ISO/IEC 27006:2015的部分条款进行了修订。
|
内容变更
|
注:按照版权要求,CNAS-CC170正文具体内容见GB/T 25967-2020/ISO/IEC 27006:2015,及ISO/IEC 27006:2015/AMD.1:2020。根据ISO/IEC 27006:2015/AMD.1:2020,修改内容包括:修改了7.2.1.1 d)&g)-ISMS审核员审核经历、 8.2.1-在ISMS认证证书中引用行业标准、9.3.1.1-审查第一阶段报告、B.2.1-在组织控制下工作的人员的数量、B.3.6-现场审核时间的计算和B.6-多场所审核时间的计算。
相关链接:CNAS-SC170:2017《信息安全管理体系认证机构认可方案》(2020第一次修订)
2. CNAS-SC170:2017《信息安全管理体系认证机构认可方案》(2020第一次修订)修订前后内容差异对照表
|
序号
|
CNAS-SC170:2017
(2020第一次修订前)
|
2020第一次修订后
|
备注
|
||
|
条款号
|
内容
|
条款号
|
内容
|
||
|
1
|
4.3 c)
|
c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》;
|
4.3 c)
|
c)CNAS-CC14《信息和通信技术(ICT)在审核中应用》;
|
引用文件名称更新
|
|
2
|
C.3
|
C.3 选择审核员(CNAS-CC01条款7.2、CNAS-CC170条款7.2.1.1)
ISMS审核员应参加至少4次、总天数不少于20天(其中最多5天可来自于监督审核)的ISMS审核。
注:教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的途径。因此,对认证人员资格条件的审查不能代替对其能力的评价与证实。
|
——
|
删除
CNAS-CC170/ISO/IEC 27006:2015/AMD.1:2020已有规定
|
|
|
3
|
C.7
|
C.7 已认可的ISMS认证的转换(CNAS-CC01条款9.1.3.4)
在CNAS签署国际认可论坛(IAF)ISMS多边承认协议(MLA)之前,认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ISMS认证实施转换。除此以外的其他情况应按照初次认证对待。
|
——
|
删除
已纳入IAF MLA
|
|
|
4
|
表G.1
|
——
|
表G.1
|
补充标记“复核审核
报告和做出认证决定”职能对“客户的产品、过程和组织的知识”的标记
|
根据CNAS-CC170/ISO/IEC 27006附录A.1补充
|
|
5
|
C.4-C.6;C.8-
C.10
|
(内容略)
|
C.3-
C.8
|
(内容略)
|
条款序号顺延调整,内容无变化
|
相关链接: CNAS-CC170:2015《信息安全管理体系认证机构要求》(2020第二次修订)
来源:中国合格品定国家认可委员会
