CNAS-EC-047_2015《基于CNAS-CC170等认可规范调整对ISMS认证机构认可转换的说明》.docxVIP

认可说明

编号：CNAS-EC-047:2015第1页共10页

发布日期：2015年12月30日实施日期：2015年12月30日

基于CNAS-CC170等认可规范调整对ISMS认证机构认可转换的说明

0背景

0.1ISO/IEC27006:2015

国际标准化组织(ISO)于2015年10月1日发布了ISO/IEC27006:2015《信息技术安全技术提供信息安全管理体系审核与认证的机构的要求》。(Information

technology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystem)。该标准代替了ISO/IEC27006:2011。

0.2IAF关于ISO/IEC27006:2015转换期的决议

2015年11月IAF第29届成员大会通过了IAF2015-12号决议：实施ISO/IEC27006:2015的转换期为该标准发布后的2年，即截止至2017年9月30日。

1CNAS-CC170等认可规范文件修订调整情况

为贯彻IAF决议，有序推进ISO/IEC27006:2015换版引起的ISMS认证机构认可转换工作，CNAS按照等同采用ISO/IEC27006:2015的原则，制定了CNAS-CC170《信息安全管理体系认证机构要求》,以取代现行的CNAS-CC17:2012。

此外，CNAS还对现行的CNAS-SC18:2012《信息安全管理体系认证机构认可方案》进行了修订，修订后的文件将使用新的文件编号CNAS-SC170:2015。

注：

1)附录1和附录2分别提供了CNAS-CC170与CNAS-CC17、CNAS-SC170与CNAS-SC18的条款对照关系。

2)以上规范文件将于2016年4月1日实施，后文中“新版规范”代指CNAS-CC170和CNAS-SC170,“旧版规范”代指CNAS-CC17和CNAS-SC18。

2转换工作目的

本转换说明旨在贯彻IAF转换决议，指导ISMS领域有序完成基于CNAS-CC170等新版规范的认可转换。

本次转换工作涉及《CNAS认可制度体系表》(CNAS-ASCO1)中ISMS专项认可制度。

3转换依据

认可说明

编号:CNAS-EC-047:2015第2页共10页

发布日期:2015年12月30日实施日期:2015年12月30日

制定本次转换工作安排的依据是IAF2015-12号决议，以及CNAS以往的转换实践经验。

4转换期

本次ISMS领域认可转换，自本文件发布之日起，至2017年9月30日结束。

自2017年10月1日起，所有CNAS颁发的ISMS认证机构认可证书应依据CNAS-CC170。注：转换期的开始日期为本文件的发布日期。

5认可转换准备

5.1CNAS的转换准备

自2016年4月1日起，CNAS完成相关准备工作，可以将依据新版规范开展ISMS认可活动。

5.2认证机构的转换准备5.2.1转换计划

自CNAS发布新版规范起，已认可的ISMS认证机构应尽快分析和理解新版规范的要求，识别新要求与自身管理体系的差异，制定相应的转换工作计划。转换工作计划可能涉及：认证机构自身管理体系的调整、人员培训与评价、与客户的沟通等。

认证机构的转换计划应考虑相关工作的完成时限，应确保在接受CNAS转换评审时认证机构的运作能够满足新版规范的要求。

5.2.2转换计划的实施

已认可的ISMS认证机构应按照转换计划（见5.2.1）尽快实施各项工作。

转换计划的实施情况，应足以证实认证机构在接受转换评审时有能力