首页 > 资讯中心

信息安全领域两份新版认可规范文件发布,11月30日实施

发布: 2023-04-16 阅读

近日,中国合格评定国家认可委员会修订并发布新版CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》,这两份文件将

近日,中国合格评定国家认可委员会修订并发布新版CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》,这两份文件将于2020年11月30日实施。

详情如下:

相关机构及人员:

国际标准化组织(ISO)于2020年3月27日发布了对ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》的第1号修改单(文件编号为:ISO/IEC 27006:2015/AMD.1:2020),国际认可论坛(IAF)在2020年8月3日发布了实施该修改单的决议。此外,等同采用ISO/IEC 27006:2015的国家标准GB/T 25067:2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》也已经于2020年4月28日发布。

鉴于上述情况,中国合格评定国家认可委员会(CNAS)修订了CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》,其中CNAS-CC170:2015为第二次修订,CNAS-SC170:2017为第一次修订。(修订内容简介见附件)

经批准,上述两份文件于2020年8月15日发布,2020年11月30日实施。为履行IAF的相应决议,现对上述文件的实施做如下安排:

1.自2020年8月15日起,新申请信息安全管理体系(ISMS)认可资格的认证机构应依据修订后的CNAS-CC170和CNAS-SC170提出认可申请。

2.自2020年11月30日起,CNAS将按照修订后的CNAS-CC170和CNAS-SC170对新申请和获认可的ISMS认证机构通过办公室评审来评审上述文件的实施情况。上述办公室评审活动应在2022年1月31日前结束,以确保相应的后续认可活动能在2022年3月31日之前完成。对于不能在2022年1月31日前结束的上述办公室评审活动,CNAS将根据认证机构的申请,安排一次针对本次CNAS-CC170和CNAS-SC170文件变化的办公室评审,评审时间按0.5人天计算。

修订后的两份文件可在CNAS网站“认可规范”栏目下载。请相关认证机构遵照执行。

特此通知。

中国合格评定国家认可委员会秘书处

2020年8月13日

附件:

1. CNAS-CC170:2015《信息安全管理体系认证机构要求》(2020第二次修订)修订前后内容差异对照表

序号

CNAS-CC170:2015

(2020第二次修订前)

2020第二次修订后

备注

条款号

内容

条款号

内容

1

前言

第二段

本文件内容及条款号与国际标准ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核认证机构的要求》内容及条款号完全一致。

前言

第二段

本文件的内容及条款号与国际标准ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》和ISO/IEC 27006:2015/AMD.1:2020内容及条款号完全一致。国家标准GB/T 25067-2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》等同采用了ISO/IEC 27006:2015;ISO/IEC 27006:2015/AMD.1:2020对ISO/IEC 27006:2015的部分条款进行了修订。

内容变更

注:按照版权要求,CNAS-CC170正文具体内容见GB/T 25967-2020/ISO/IEC 27006:2015,及ISO/IEC 27006:2015/AMD.1:2020。根据ISO/IEC 27006:2015/AMD.1:2020,修改内容包括:修改了7.2.1.1 d)&g)-ISMS审核员审核经历、8.2.1-在ISMS认证证书中引用行业标准、9.3.1.1-审查第一阶段报告、B.2.1-在组织控制下工作的人员的数量、B.3.6-现场审核时间的计算和B.6-多场所审核时间的计算。

相关链接:CNAS-SC170:2017《信息安全管理体系认证机构认可方案》(2020第一次修订)

2. CNAS-SC170:2017《信息安全管理体系认证机构认可方案》(2020第一次修订)修订前后内容差异对照表

序号

CNAS-SC170:2017

(2020第一次修订前)

2020第一次修订后

备注

条款号

内容

条款号

内容

1

4.3 c)

c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》;

4.3 c)

c)CNAS-CC14《信息和通信技术(ICT)在审核中应用》;

引用文件名称更新

2

C.3

C.3 选择审核员(CNAS-CC01条款7.2、CNAS-CC170条款7.2.1.1)

ISMS审核员应参加至少4次、总天数不少于20天(其中最多5天可来自于监督审核)的ISMS审核。

注:教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的途径。因此,对认证人员资格条件的审查不能代替对其能力的评价与证实。

——

删除

CNAS-CC170/ISO/IEC 27006:2015/AMD.1:2020已有规定

3

C.7

C.7 已认可的ISMS认证的转换(CNAS-CC01条款9.1.3.4)

在CNAS签署国际认可论坛(IAF)ISMS多边承认协议(MLA)之前,认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ISMS认证实施转换。除此以外的其他情况应按照初次认证对待。

——

删除

已纳入IAF MLA

4

表G.1

——

表G.1

补充标记“复核审核

报告和做出认证决定”职能对“客户的产品、过程和组织的知识”的标记

根据CNAS-CC170/ISO/IEC 27006附录A.1补充

5

C.4-C.6;C.8-

C.10

(内容略)

C.3-

C.8

(内容略)

条款序号顺延调整,内容无变化

相关链接:CNAS-CC170:2015《信息安全管理体系认证机构要求》(2020第二次修订)

来源:中国合格品定国家认可委员会

全国ISO体系认证3999起、服务认证3999起【认监委可查】;AAA信用认证1499起、企业服务资质证书1499起【招标平台可查】;含官费含发票,联系陈工13416464383微信同号。

相关文章
联系我们

联系我们

13416464383

在线咨询: 在线客服

工作时间:周一至周日,8:30-23:30

客服微信
微信扫一扫添加客服

微信扫一扫添加客服

返回顶部