R.1認(rèn)證業(yè)務(wù)范圍的認(rèn)可R.1.1附錄A規(guī)定了ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類與分級(jí)。R.1.2 CNAS按附錄A的業(yè)務(wù)范圍分類進(jìn)行認(rèn)可。注:認(rèn)證機(jī)構(gòu)應(yīng)在提交認(rèn)可申請(qǐng)時(shí)明確擬申請(qǐng)的業(yè)務(wù)范圍,包括相應(yīng)的大類或中類。R.1.3 CNAS對(duì)ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍的認(rèn)可不包括中華人民共和國(guó)境內(nèi)(不含香港、澳門特別行政區(qū),臺(tái)灣地區(qū))的各級(jí)政府機(jī)關(guān)、政府信息系統(tǒng)運(yùn)行單位和涉密信息系統(tǒng)建設(shè)使用單位。R.2.1初次認(rèn)可時(shí),CNAS將至少見證1次認(rèn)證機(jī)構(gòu)對(duì)同一客戶實(shí)施的第一階段審核和第二階審核。R.2.2認(rèn)證業(yè)務(wù)范圍認(rèn)可的見證評(píng)審要求1)附錄A中每個(gè)大類的一級(jí)中類分別為一個(gè)獨(dú)立的需強(qiáng)制見證組別,CNAS采取抽樣的方式對(duì)每個(gè)技術(shù)組中某個(gè)中類實(shí)施見證評(píng)審。2)附錄A中的二級(jí)和三級(jí)中類為一個(gè)非強(qiáng)制見證組別,適用時(shí),CNAS優(yōu)先選取該技術(shù)組中一個(gè)風(fēng)險(xiǎn)級(jí)別高的某一中類實(shí)施見證評(píng)審。R.2.3對(duì)于已獲得認(rèn)可資格的認(rèn)證機(jī)構(gòu),每年應(yīng)進(jìn)行至少一次見證評(píng)審。在每個(gè)完整的5年認(rèn)可周期內(nèi),CNAS至少對(duì)一個(gè)獲認(rèn)可的強(qiáng)制見證組別實(shí)施1次見證評(píng)審。當(dāng)不滿足完整的5年認(rèn)可周期時(shí),優(yōu)先選取風(fēng)險(xiǎn)等級(jí)高的中類實(shí)施見證。R.3對(duì)認(rèn)證機(jī)構(gòu)客戶的信息及其相關(guān)資產(chǎn)的訪問安排
當(dāng)認(rèn)證機(jī)構(gòu)的客戶不同意CNAS在認(rèn)可評(píng)審中訪問其信息和相關(guān)資產(chǎn)時(shí),認(rèn)證機(jī)構(gòu)應(yīng)提前告知CNAS,CNAS將根據(jù)評(píng)審所受的影響采取相應(yīng)的措施。
C.1認(rèn)證協(xié)議(CNAS-CC01:20155.1.2)認(rèn)證協(xié)議應(yīng)就控制審核和認(rèn)證活動(dòng)引發(fā)的客戶信息安全風(fēng)險(xiǎn)做出規(guī)定,包括明確認(rèn)證機(jī)構(gòu)和客戶及其有關(guān)人員的責(zé)任與義務(wù)。C.2客戶記錄的獲取(CNAS-CC170:20248.4.2)C.2.1認(rèn)證機(jī)構(gòu)直接接觸客戶信息的認(rèn)證人員(例如審核組成員)宜按照客戶的保密要求與客戶簽署保密協(xié)議,或向客戶做出保密承諾。C.2.2如果客戶事先沒有禁止認(rèn)證機(jī)構(gòu)接觸某一信息和相關(guān)資產(chǎn),或未告知認(rèn)證機(jī)構(gòu)應(yīng)滿足的要求,但認(rèn)證機(jī)構(gòu)在認(rèn)證過程中發(fā)現(xiàn)自己并不具備接觸該信息資產(chǎn)的資格和條件,應(yīng)立即向客戶提出。C.2.3審核組成員不宜在審核過程中以任何方式記錄客戶的保密或敏感信息。審核組在離開客戶前,宜請(qǐng)客戶檢查和確認(rèn)審核組攜帶的文件、資料和設(shè)備中未夾帶客戶的任何保密或敏感信息。C.3 ISMS的變化(CNAS-CC01:20158.5.3)認(rèn)證機(jī)構(gòu)應(yīng)要求客戶即時(shí)報(bào)告其ISMS范圍內(nèi)活動(dòng)邊界(見CNAS-CC170:20249.1.3.6)和ISMS適用法律法規(guī)的重大變更。C.4認(rèn)證申請(qǐng)(CNAS-CC01:20159.1.2)C.4.1認(rèn)證機(jī)構(gòu)應(yīng)確保認(rèn)證申請(qǐng)客戶承諾遵守工信部聯(lián)協(xié)[2010]394號(hào)文《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的要求,以及有關(guān)主管部門/監(jiān)管部門對(duì)信息安全管理體系認(rèn)證的管理要求(如工信部2011年第21號(hào)公告《工業(yè)和信息化部加強(qiáng)政府部門信息技術(shù)外包服務(wù)安全管理》等)。C.4.2認(rèn)證機(jī)構(gòu)宜要求客戶向其說明適用的關(guān)于認(rèn)證機(jī)構(gòu)的資質(zhì)、誠信守法記錄或認(rèn)證人員身份背景的要求,以及適用的與保守國(guó)家秘密或維護(hù)國(guó)家安全有關(guān)的法律法規(guī)要求,并即時(shí)更新該說明,以便認(rèn)證機(jī)構(gòu)判斷其是否具備對(duì)該客戶實(shí)施認(rèn)證活動(dòng)的資格或條件。C.5初次認(rèn)證第一階段(CNAS-CC01:20159.3.1.2)認(rèn)證機(jī)構(gòu)宜合理分配第一階段審核時(shí)間,并予以記錄。認(rèn)證機(jī)構(gòu)應(yīng)在一階段對(duì)客戶的文件化管理體系信息進(jìn)行充分審核。C.6認(rèn)證機(jī)構(gòu)的管理體系(CNAS-CC170:202410.1.1)C.6.1認(rèn)證機(jī)構(gòu)宜在其方針、政策、目標(biāo)和承諾上體現(xiàn)自身的信息安全意識(shí)和追求,并在管理體系的建立和實(shí)施中予以體現(xiàn)。C.6.2認(rèn)證機(jī)構(gòu)宜將自身信息安全績(jī)效作為管理評(píng)審的輸入,包括考慮認(rèn)證活動(dòng)對(duì)客戶信息安全的影響所采取的管控措施。
