R.1.1附錄A規定了ISMS認證機構認證業務范圍分類與分級。R.1.2 CNAS按附錄A的業務范圍分類進行認可。注:認證機構應在提交認可申請時明確擬申請的業務范圍,包括相應的大類或中類。R.1.3 CNAS對ISMS認證機構認證業務范圍的認可不包括中華人民共和國境內(不含香港、澳門特別行政區,臺灣地區)的各級政府機關、政府信息系統運行單位和涉密信息系統建設使用單位。R.2.1初次認可時,CNAS將至少見證1次認證機構對同一客戶實施的第一階段審核和第二階審核。1)附錄A中每個大類的一級中類分別為一個獨立的需強制見證組別,CNAS采取抽樣的方式對每個技術組中某個中類實施見證評審。2)附錄A中的二級和三級中類為一個非強制見證組別,適用時,CNAS優先選取該技術組中一個風險級別高的某一中類實施見證評審。R.2.3對于已獲得認可資格的認證機構,每年應進行至少一次見證評審。在每個完整的5年認可周期內,CNAS至少對一個獲認可的強制見證組別實施1次見證評審。當不滿足完整的5年認可周期時,優先選取風險等級高的中類實施見證。
當認證機構的客戶不同意CNAS在認可評審中訪問其信息和相關資產時,認證機構應提前告知CNAS,CNAS將根據評審所受的影響采取相應的措施。
C.1認證協議(CNAS-CC01:20155.1.2)認證協議應就控制審核和認證活動引發的客戶信息安全風險做出規定,包括明確認證機構和客戶及其有關人員的責任與義務。C.2客戶記錄的獲取(CNAS-CC170:20248.4.2)C.2.1認證機構直接接觸客戶信息的認證人員(例如審核組成員)宜按照客戶的保密要求與客戶簽署保密協議,或向客戶做出保密承諾。C.2.2如果客戶事先沒有禁止認證機構接觸某一信息和相關資產,或未告知認證機構應滿足的要求,但認證機構在認證過程中發現自己并不具備接觸該信息資產的資格和條件,應立即向客戶提出。C.2.3審核組成員不宜在審核過程中以任何方式記錄客戶的保密或敏感信息。審核組在離開客戶前,宜請客戶檢查和確認審核組攜帶的文件、資料和設備中未夾帶客戶的任何保密或敏感信息。C.3 ISMS的變化(CNAS-CC01:20158.5.3)認證機構應要求客戶即時報告其ISMS范圍內活動邊界(見CNAS-CC170:20249.1.3.6)和ISMS適用法律法規的重大變更。C.4認證申請(CNAS-CC01:20159.1.2)C.4.1認證機構應確保認證申請客戶承諾遵守工信部聯協[2010]394號文《關于加強信息安全管理體系認證安全管理的通知》的要求,以及有關主管部門/監管部門對信息安全管理體系認證的管理要求(如工信部2011年第21號公告《工業和信息化部加強政府部門信息技術外包服務安全管理》等)。C.4.2認證機構宜要求客戶向其說明適用的關于認證機構的資質、誠信守法記錄或認證人員身份背景的要求,以及適用的與保守國家秘密或維護國家安全有關的法律法規要求,并即時更新該說明,以便認證機構判斷其是否具備對該客戶實施認證活動的資格或條件。C.5初次認證第一階段(CNAS-CC01:20159.3.1.2)認證機構宜合理分配第一階段審核時間,并予以記錄。認證機構應在一階段對客戶的文件化管理體系信息進行充分審核。C.6認證機構的管理體系(CNAS-CC170:202410.1.1)C.6.1認證機構宜在其方針、政策、目標和承諾上體現自身的信息安全意識和追求,并在管理體系的建立和實施中予以體現。C.6.2認證機構宜將自身信息安全績效作為管理評審的輸入,包括考慮認證活動對客戶信息安全的影響所采取的管控措施。
