近日,中國合格評定國家認可委員會(CNAS)發布關于CNAS-SC170:202X《信息安全管理體系認證機構認可方案》等文件網上征求意見的通知。
各相關機構及人員:
國際標準化組織(ISO)于2024年3月發布了ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求 第1部分:通用》,該標準代替了ISO/IEC 27006:2015及其相應的修改單。國際認可論壇(IAF)在2024年5月發布了IAF MD29:2024《ISO/IEC 27006-1:2024轉換要求》(第1版)。該文件識別了ISO/IEC 27006-1:2024的主要變化及影響,提出了本次轉換周期,并規定了認可機構和認證機構實施轉換過程的具體要求。
為落實ISO、IAF的相關工作安排,指導已獲CNAS認可的信息安全管理體系(ISMS)認可機構有序完成有關的認可轉換工作,中國合格評定國家認可委員會(CNAS)制定了CNAS-EC-0XX《關于CNAS-CC170&SC170認可規范換版的認可轉換說明》。CNAS按照等同采用ISO/IEC 27006-1:2024的原則,修訂CNAS-CC170:202X《信息安全管理體系認證機構要求》,以取代現行的CNAS-CC170:2015.同時根據CNAS-CC170:2024相關要求以及ISMS認可經驗總結,CNAS將修訂CNAS-SC170:202X《信息安全管理體系認證機構認可方案》,以取代CNAS-SC170:2017.
根據ITSMS認可經驗總結,并考慮信息技術服務管理體系(ITSMS)與信息安全管理體系(ISMS)兩個認可制度的管理一致性,本次協調修改了CNAS-SC175:202X《基于ISO/IEC 20000-1的服務管理體系認證機構認可方案》,以取代CNAS-SC175:2017.本次ITSMS無需進行轉換,不設置過渡期,自文件發布之日,舊版文件失效。
現于網上征集各方意見,請相關單位和人員將有關建議或意見填寫至"意見征詢表"中,并于2024年8月14日前反饋CNAS。
聯系人:方潔
Email:fangj@cnas.org.cn
附件:
1.CNAS-SC170_202X《信息安全管理體系認證機構認可方案》征求意見稿
2.CNAS-SC175_202X《基于ISO-IEC 20000-1的服務管理體系認證機構認可方案》征求意見稿
4.CNAS-EC-0XX_2024《關于CNAS-CC170&SC170認可規范換版的認可轉換說明》
中國合格評定國家認可中心
CNAS-CC170:202X《信息安全管理體系認證機構要求》等認可規范文件修訂說明
一、 任務來源和背景
國際標準化組織(ISO)于 2024 年 3 月發布了 ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求 第 1 部分:通用》,該標準代替了 ISO/IEC 27006:2015 及其相應的修改單。
國際認可論壇(IAF)在 2024 年 5 月發布了 IAF MD29:2024《ISO/IEC 27006-1:2024轉換要求》(第1版)。該文件識別了ISO/IEC 27006-1:2024的主要變化及影響,提出了本次轉換周期,并規定了認可機構和認證機構實施轉換過程的具體要求。該標準過渡期為 2 年,即自 2024 年即 3 月 31 日起至 2026 年 3 月 31 日止。
為落實 IAF-MD29 的相關要求,CNAS 按照等同采用 ISO/IEC27006-1:2024 的原則,修訂了 CNAS-CC170:202X《信息安全管理體系認證機構要求》,以取代現行的 CNAS-CC170:2015.此外,CNAS 根據CNAS-CC170:202X 相關要求以及 ISMS 認可經驗總結,將發布CNAS-SC170:202X《信息安全管理體系認證機構認可方案》,以取代CNAS-SC170:2017.考慮信息技術服務管理體系與信息安全管理體系兩個認可制度的關聯性,本次協調修改了 CNAS-SC175:202X《基于ISO-IEC 2000-1 的服務管理體系認證機構認可方案》,以取代CNAS-SC175:2017
二、 文件修訂的主要內容
1、 CNAS-CC170:202X《信息安全管理體系認證機構要求》
——在規范性引用文件中刪除 ISO/IEC 27000;
——增加“控制”、“外部環境”、“信息安全”等術語;
——調整審核員工作經歷、培訓經歷和審核經歷要求;
——修改遠程審核的相關要求;
——新增認證文件中引用其他標準的要求;
——修改審核時間計算的相關要求;
——依據 CNAS-CC170:2024 附錄 A 中的信息安全控制,更新附錄 E;
2、 CNAS-SC170:202X《信息安全管理體系認證機構認可方案》
——對認證業務范圍的認可描述進行調整;
——明確見證評審要求;
——對于現有認可規范文件中已進行明確規定的內容予以刪除,保持相關文件的協調統一,如認可申請、預訪問、風險評估和責任安排的內容、ISMS 認證證書等內容;
——基于認證業務的發展,刪除 ISMS 認證機構能力分析和評價系統指南;刪除資料性附錄 通用信息安全技術領域和通用信息技術領域參考分類、知識點及應用;
——調整部分業務范圍的等級,調整 02.05 為一級、02.07 為二級、03.05 為二級;
3、 CNAS-SC175:202X《基于 ISO-IEC 2000-1 的服務管理體系認證機構認可方案》
——對認證業務范圍的認可描述進行調整;
——明確見證評審要求;
——對于現有認可規范文件中已進行明確規定的內容予以刪除,保持相關文件的協調統一,如預訪問、信息通報等內容;
——調整部分表述,保持與 CNAS-SC170 協調統一。
三、文件實施建議
本次修訂為文件換版修訂,三個認可規范文件均擬于 2024 年 9月 30 日發布,2025 年 9 月 30 日實施。
其中 CNAS-CC170 過渡期為 2024 年即 9 月 30 日起至 2026 年 3月 31 日止,舊版文件于 2026 年 3 月 31 日失效。
CNAS-SC170、CNAS-SC175 不設置過渡期,自文件發布之日,舊版文件失效。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
