CNAS-CC170-2015《信息安全管理体系认证机构要求(第一次修订)》是中国合格评定国家认可委员会(CNAS)针对信息安全管理体系(ISMS)认证机构制定的认可规范文件。该标准基于国际标准ISO/IEC17021-1《合格评定管理体系审核认证机构要求第1部分:要求》和ISO/IEC27006《信息技术安全技术信息安全管理体系审核认证机构要求》,结合中国国情和认证实践进行了修订和完善。该标准规定了认证机构在开展信息安全管理体系(ISMS)认证活动时应满足的基本要求,包括认证机构的管理能力、审核员能力、认证过程控制、公正性和保密性等方面的要求。通过该标准的实施,可确保认证机构具备足够的能力和规范性,为组织提供可信的ISMS认证服务,促进信息安全管理体系的广泛应用和持续改进。该修订版进一步优化了认证机构的管理要求,强化了对认证过程的风险控制,并提高了对审核员专业能力的要求,以适应信息安全领域的技术发展和行业需求。
