信息安全管理体系认证机构的认可说明(征求意见稿)1目的和适用范围.docVIP

信息安全管理体系认证机构的认可说明(征求意见稿)1目的和适用范围.doc

  1. 1、本文档共13页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
PAGE PAGE 10 信息安全管理体系认证机构的认可说明 (征求意见稿) 1 目的和适用范围 1.1 为确保CNAS对GB/T 22080—2008(ISO/IEC 27001:2005, IDT)信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。 1.2 本文件是对ISMS认证机构认可规范的补充和必要说明,适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件,适时将其转化为相应认可规范。 本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。 2 术语和定义 ISO 9000:2005和GB/T 27000-2006中的术语和定义以及下列术语和定义适用于本文件。 2.1 技术领域 按照信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具在行业、组织和(或)业务活动中的应用特点而划分的范围 2.2 ISMS专业审核员 能够独立实施涉及特定技术领域的ISMS审核活动的审核员 2.3 ISMS技术专家 针对特定技术领域的信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家 3 ISMS认证机构认可规范 3.1 CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。 CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。 CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。 3.2 其他适用的认可规则包括: CNAS-R01:2006《认可标识和认可状态声明管理规则》(2007年第1次修订); CNAS-R02:2006《公正性和必威体育官网网址规则》; CNAS-R03:2008《申诉、投诉和争议处理规则》; CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则》; CNAS-RC03:2006《认证机构信息通报规则》; CNAS-RC04:2008《认证机构认可收费管理规则》; CNAS-RC05:2006《多场所认证机构认可规则》; CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。 3.3 其他适用的认可准则包括: CNAS-CC11:2008《基于抽样的多场所认证》; CNAS-CC12:2008《已认可的管理体系认证的转换》; CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。 R部分 R.1 认可申请 申请认可的ISMS认证机构(以下称为“申请方”)应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件: ISMS认证活动已被国家认监委批准; 基本运作符合CNAS-CC01。 申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息 ISMS认证活动国家认监委批准文件复印件; 已审核过的组织(对应到附录一中的相应中类); 自申请时间起6个月内计划实施的审核(对应到附录一中的相应中类); 需要时CNAS要求的其他信息。 R.2 初次认可的见证评审 CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。 注:认可试点期间,如果初次认可中仅实施一次见证评审,CNAS将在申请方获得认可后,结合其ISMS认证活动发展情况,至少补充一次见证评审。 R.3 认证业务范围的认可 R.3.1 认证业务范围的分类与分级 CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法:分为“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“I”、“II”或“III”(由髙至低)的风险级别。本文件附录一对以上分类和分级做了进一步说明。 R.3.2 认证业务范围的认可程序 ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下,在申请认可的认证业务范围内,认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。 R.3.2.1 认证业务范围的 认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括: 按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况; 在申请认可的每个大类中选取一定数量的中类,按中类从认证活动管理和实施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下,I级风险的中类必选,并需要实施见证评

文档评论(0)

189****0315 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档