CNAS 和管理 CNAS-CC170 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 微信公 中国合格评定国家认可委员会 2015年12月30日发布 2016年04月01日实施 CNAS-CC170:2015 第1页共37页 目次 目次. 前言.. 引言.. 1 范围. : 5 2 规范性引用文件. 3 术语和定义. 5 4 原则. .5 5 通用要求. 5.1 法律与合同事宜 .5 5.2 公正性的管理. 5 5.3责任和财力. .6 6 结构要求... 7资源要求. 6 7.1 人员能力. 6 7.2 参与认证活动的人员， 9 7.3 外部审核员和外部技术专家的使用 10 7.4人员记录， 10 7.5 外包 10 8 信息要求. 10 8.1公开信息．. 10 8.2 认证文件 11 8.3 认证的引用和标志的使用 11 8.4 保密 11 8.5认证机构与其客户间的信息交换， 9 过程要求 .11 9.1认证前的活动. 11 9.2策划审核.. 14 9.3初次认证. 15 9.4实施审核. 16 9.5 认证决定.. 17 9.6 保持认证. 17 9.7 申诉. . 18 2015年12月30日发布 2016年04月01日实施 第2页共37页 CNAS-CC170:2015 9.8投诉 18 9.9客户的记录 18 10认证机构的管理体系要求， 18 10.1可选方式. 18 10.2方式A：通用的管理体系要求 19 10.3方式B：与 GB/T19001一致的管理体系要求 19 附录A（资料性附录）ISMS 审核与认证的知识与技能， 20 附录B（规范性附录）审核时间 22 附录C（资料性附录）审核时间计算方法 27 附录D（资料性附录）对已实施的IS0/IEC 27001:2013附录A的控制的评审指南：.31 参考文献. 微信公众号 2015年12月30日发布 2016年04月01日实施