近日,中國合格評定國家認可委員會修訂并發布新版CNAS-CC170:2015《信息安全管理體系認證認證機構要求》和CNAS-SC170:2017《信息安全管理體系認證機構認可方案》,這兩份文件將于2020年11月30日實施。
詳情如下:
相關機構及人員:
國際標準化組織(ISO)于2020年3月27日發布了對ISO/IEC 27006:2015《信息技術 安全技術 信息安全管理體系審核和認證機構的要求》的第1號修改單(文件編號為:ISO/IEC 27006:2015/AMD.1:2020),國際認可論壇(IAF)在2020年8月3日發布了實施該修改單的決議。此外,等同采用ISO/IEC 27006:2015的國家標準GB/T 25067:2020《信息技術 安全技術 信息安全管理體系審核和認證機構的要求》也已經于2020年4月28日發布。
鑒于上述情況,中國合格評定國家認可委員會(CNAS)修訂了CNAS-CC170:2015《信息安全管理體系認證認證機構要求》和CNAS-SC170:2017《信息安全管理體系認證機構認可方案》,其中CNAS-CC170:2015為第二次修訂,CNAS-SC170:2017為第一次修訂。(修訂內容簡介見附件)
經批準,上述兩份文件于2020年8月15日發布,2020年11月30日實施。為履行IAF的相應決議,現對上述文件的實施做如下安排:
1.自2020年8月15日起,新申請信息安全管理體系(ISMS)認可資格的認證機構應依據修訂后的CNAS-CC170和CNAS-SC170提出認可申請。
2.自2020年11月30日起,CNAS將按照修訂后的CNAS-CC170和CNAS-SC170對新申請和獲認可的ISMS認證機構通過辦公室評審來評審上述文件的實施情況。上述辦公室評審活動應在2022年1月31日前結束,以確保相應的后續認可活動能在2022年3月31日之前完成。對于不能在2022年1月31日前結束的上述辦公室評審活動,CNAS將根據認證機構的申請,安排一次針對本次CNAS-CC170和CNAS-SC170文件變化的辦公室評審,評審時間按0.5人天計算。
修訂后的兩份文件可在CNAS網站“認可規范”欄目下載。請相關認證機構遵照執行。
特此通知。
中國合格評定國家認可委員會秘書處
2020年8月13日
附件:
1. CNAS-CC170:2015《信息安全管理體系認證機構要求》(2020第二次修訂)修訂前后內容差異對照表
|
序號
|
CNAS-CC170:2015
(2020第二次修訂前)
|
2020第二次修訂后
|
備注
|
||
|
條款號
|
內容
|
條款號
|
內容
|
||
|
1
|
前言
第二段
|
本文件內容及條款號與國際標準ISO/IEC 27006:2015《信息技術 安全技術 信息安全管理體系審核認證機構的要求》內容及條款號完全一致。
|
前言
第二段
|
本文件的內容及條款號與國際標準ISO/IEC 27006:2015《信息技術 安全技術 信息安全管理體系審核和認證機構的要求》和ISO/IEC 27006:2015/AMD.1:2020內容及條款號完全一致。國家標準GB/T 25067-2020《信息技術 安全技術 信息安全管理體系審核和認證機構的要求》等同采用了ISO/IEC 27006:2015;ISO/IEC 27006:2015/AMD.1:2020對ISO/IEC 27006:2015的部分條款進行了修訂。
|
內容變更
|
注:按照版權要求,CNAS-CC170正文具體內容見GB/T 25967-2020/ISO/IEC 27006:2015,及ISO/IEC 27006:2015/AMD.1:2020。根據ISO/IEC 27006:2015/AMD.1:2020,修改內容包括:修改了7.2.1.1 d)&g)-ISMS審核員審核經歷、 8.2.1-在ISMS認證證書中引用行業標準、9.3.1.1-審查第一階段報告、B.2.1-在組織控制下工作的人員的數量、B.3.6-現場審核時間的計算和B.6-多場所審核時間的計算。
相關鏈接:CNAS-SC170:2017《信息安全管理體系認證機構認可方案》(2020第一次修訂)
2. CNAS-SC170:2017《信息安全管理體系認證機構認可方案》(2020第一次修訂)修訂前后內容差異對照表
|
序號
|
CNAS-SC170:2017
(2020第一次修訂前)
|
2020第一次修訂后
|
備注
|
||
|
條款號
|
內容
|
條款號
|
內容
|
||
|
1
|
4.3 c)
|
c)CNAS-CC14《計算機輔助審核技術在獲得認可的管理體系認證中的使用》;
|
4.3 c)
|
c)CNAS-CC14《信息和通信技術(ICT)在審核中應用》;
|
引用文件名稱更新
|
|
2
|
C.3
|
C.3 選擇審核員(CNAS-CC01條款7.2、CNAS-CC170條款7.2.1.1)
ISMS審核員應參加至少4次、總天數不少于20天(其中最多5天可來自于監督審核)的ISMS審核。
注:教育、工作經歷、審核員培訓和審核經歷僅是認證人員獲取認證所需能力的途徑。因此,對認證人員資格條件的審查不能代替對其能力的評價與證實。
|
——
|
刪除
CNAS-CC170/ISO/IEC 27006:2015/AMD.1:2020已有規定
|
|
|
3
|
C.7
|
C.7 已認可的ISMS認證的轉換(CNAS-CC01條款9.1.3.4)
在CNAS簽署國際認可論壇(IAF)ISMS多邊承認協議(MLA)之前,認證機構僅應根據CNAS-CC12對CNAS認可的其他認證機構頒發的ISMS認證實施轉換。除此以外的其他情況應按照初次認證對待。
|
——
|
刪除
已納入IAF MLA
|
|
|
4
|
表G.1
|
——
|
表G.1
|
補充標記“復核審核
報告和做出認證決定”職能對“客戶的產品、過程和組織的知識”的標記
|
根據CNAS-CC170/ISO/IEC 27006附錄A.1補充
|
|
5
|
C.4-C.6;C.8-
C.10
|
(內容略)
|
C.3-
C.8
|
(內容略)
|
條款序號順延調整,內容無變化
|
相關鏈接: CNAS-CC170:2015《信息安全管理體系認證機構要求》(2020第二次修訂)
來源:中國合格品定國家認可委員會
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、最高人民法院、知乎、國家認證認可監督管理委員會、國家知識產權局、市場監督總局
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
