近日，中國合格評定國家認(rèn)可委員會(CNAS)發(fā)布關(guān)于CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》等文件網(wǎng)上征求意見的通知。

各相關(guān)機(jī)構(gòu)及人員：

國際標(biāo)準(zhǔn)化組織(ISO)于2024年3月發(fā)布了ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分：通用》，該標(biāo)準(zhǔn)代替了ISO/IEC 27006:2015及其相應(yīng)的修改單。國際認(rèn)可論壇(IAF)在2024年5月發(fā)布了IAF MD29:2024《ISO/IEC 27006-1:2024轉(zhuǎn)換要求》(第1版)。該文件識別了ISO/IEC 27006-1:2024的主要變化及影響，提出了本次轉(zhuǎn)換周期，并規(guī)定了認(rèn)可機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)實施轉(zhuǎn)換過程的具體要求。

為落實ISO、IAF的相關(guān)工作安排，指導(dǎo)已獲CNAS認(rèn)可的信息安全管理體系(ISMS)認(rèn)可機(jī)構(gòu)有序完成有關(guān)的認(rèn)可轉(zhuǎn)換工作，中國合格評定國家認(rèn)可委員會(CNAS)制定了CNAS-EC-0XX《關(guān)于CNAS-CC170&SC170認(rèn)可規(guī)范換版的認(rèn)可轉(zhuǎn)換說明》。CNAS按照等同采用ISO/IEC 27006-1:2024的原則，修訂CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》，以取代現(xiàn)行的CNAS-CC170:2015.同時根據(jù)CNAS-CC170:2024相關(guān)要求以及ISMS認(rèn)可經(jīng)驗總結(jié)，CNAS將修訂CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC170:2017.

根據(jù)ITSMS認(rèn)可經(jīng)驗總結(jié),并考慮信息技術(shù)服務(wù)管理體系(ITSMS)與信息安全管理體系(ISMS)兩個認(rèn)可制度的管理一致性，本次協(xié)調(diào)修改了CNAS-SC175:202X《基于ISO/IEC 20000-1的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC175:2017.本次ITSMS無需進(jìn)行轉(zhuǎn)換，不設(shè)置過渡期，自文件發(fā)布之日，舊版文件失效。

現(xiàn)于網(wǎng)上征集各方意見，請相關(guān)單位和人員將有關(guān)建議或意見填寫至"意見征詢表"中，并于2024年8月14日前反饋CNAS。

聯(lián)系人：方潔

Email：fangj@cnas.org.cn

附件：

1.CNAS-SC170_202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》征求意見稿

2.CNAS-SC175_202X《基于ISO-IEC 20000-1的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》征求意見稿

3.CNAS-SC175：202X修訂差異對照表

4.CNAS-EC-0XX_2024《關(guān)于CNAS-CC170&SC170認(rèn)可規(guī)范換版的認(rèn)可轉(zhuǎn)換說明》

5.CNAS-CC170 202X等認(rèn)可規(guī)范文件修訂說明

6.CNAS文件意見征詢表

中國合格評定國家認(rèn)可中心

CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》等認(rèn)可規(guī)范文件修訂說明

一、 任務(wù)來源和背景

國際標(biāo)準(zhǔn)化組織(ISO)于 2024 年 3 月發(fā)布了 ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第 1 部分：通用》，該標(biāo)準(zhǔn)代替了 ISO/IEC 27006:2015 及其相應(yīng)的修改單。

國際認(rèn)可論壇(IAF)在 2024 年 5 月發(fā)布了 IAF MD29:2024《ISO/IEC 27006-1:2024轉(zhuǎn)換要求》(第1版)。該文件識別了ISO/IEC 27006-1:2024的主要變化及影響，提出了本次轉(zhuǎn)換周期，并規(guī)定了認(rèn)可機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)實施轉(zhuǎn)換過程的具體要求。該標(biāo)準(zhǔn)過渡期為 2 年，即自 2024 年即 3 月 31 日起至 2026 年 3 月 31 日止。

為落實 IAF-MD29 的相關(guān)要求，CNAS 按照等同采用 ISO/IEC27006-1:2024 的原則，修訂了 CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》，以取代現(xiàn)行的 CNAS-CC170:2015.此外，CNAS 根據(jù)CNAS-CC170:202X 相關(guān)要求以及 ISMS 認(rèn)可經(jīng)驗總結(jié)，將發(fā)布CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC170:2017.考慮信息技術(shù)服務(wù)管理體系與信息安全管理體系兩個認(rèn)可制度的關(guān)聯(lián)性，本次協(xié)調(diào)修改了 CNAS-SC175:202X《基于ISO-IEC 2000-1 的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC175:2017

二、 文件修訂的主要內(nèi)容

1、 CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》

——在規(guī)范性引用文件中刪除 ISO/IEC 27000;

——增加“控制”、“外部環(huán)境”、“信息安全”等術(shù)語;

——調(diào)整審核員工作經(jīng)歷、培訓(xùn)經(jīng)歷和審核經(jīng)歷要求;

——修改遠(yuǎn)程審核的相關(guān)要求;

——新增認(rèn)證文件中引用其他標(biāo)準(zhǔn)的要求;

——修改審核時間計算的相關(guān)要求;

——依據(jù) CNAS-CC170:2024 附錄 A 中的信息安全控制，更新附錄 E;

2、 CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》

——對認(rèn)證業(yè)務(wù)范圍的認(rèn)可描述進(jìn)行調(diào)整;

——明確見證評審要求;

——對于現(xiàn)有認(rèn)可規(guī)范文件中已進(jìn)行明確規(guī)定的內(nèi)容予以刪除，保持相關(guān)文件的協(xié)調(diào)統(tǒng)一，如認(rèn)可申請、預(yù)訪問、風(fēng)險評估和責(zé)任安排的內(nèi)容、ISMS 認(rèn)證證書等內(nèi)容;

——基于認(rèn)證業(yè)務(wù)的發(fā)展，刪除 ISMS 認(rèn)證機(jī)構(gòu)能力分析和評價系統(tǒng)指南;刪除資料性附錄 通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域參考分類、知識點(diǎn)及應(yīng)用;

——調(diào)整部分業(yè)務(wù)范圍的等級，調(diào)整 02.05 為一級、02.07 為二級、03.05 為二級;

3、 CNAS-SC175:202X《基于 ISO-IEC 2000-1 的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》

——對認(rèn)證業(yè)務(wù)范圍的認(rèn)可描述進(jìn)行調(diào)整;

——明確見證評審要求;

——對于現(xiàn)有認(rèn)可規(guī)范文件中已進(jìn)行明確規(guī)定的內(nèi)容予以刪除，保持相關(guān)文件的協(xié)調(diào)統(tǒng)一，如預(yù)訪問、信息通報等內(nèi)容;

——調(diào)整部分表述，保持與 CNAS-SC170 協(xié)調(diào)統(tǒng)一。

三、文件實施建議

本次修訂為文件換版修訂，三個認(rèn)可規(guī)范文件均擬于 2024 年 9月 30 日發(fā)布，2025 年 9 月 30 日實施。

其中 CNAS-CC170 過渡期為 2024 年即 9 月 30 日起至 2026 年 3月 31 日止，舊版文件于 2026 年 3 月 31 日失效。

CNAS-SC170、CNAS-SC175 不設(shè)置過渡期，自文件發(fā)布之日，舊版文件失效。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/news/202408/xwif_51603.html