CNAS-CC170-2015《信息安全管理体系认证机构要求》是中国合格评定国家认可委员会(CNAS)发布的一项认可规范文件,其全称为《信息安全管理体系认证机构要求》,该文件于2019年2月20日进行了第一次修订。该规范基于国际标准ISO/IEC17021-1《合格评定管理体系审核认证机构要求第1部分:要求》并结合信息安全管理体系(ISMS)认证的特殊性制定,旨在为从事信息安全管理体系认证的机构提供统一的认可要求。该文件的主要内容包括对认证机构在管理体系、资源管理、认证过程、认证决定以及认证后的监督等方面的具体要求,确保认证机构在实施ISMS认证时具备相应的能力、公正性和一致性。修订后的版本进一步强化了对认证机构在风险管理、认证人员能力、审核过程控制以及信息安全管理特定要求方面的规定,以提高ISMS认证的有效性和可信度。该规范适用于所有向CNAS寻求认可的ISMS认证机构,也用于CNAS对认证机构的评审和监督。通过符合CNAS-CC170-2015的要求,认证机构能够证明其具备提供可靠、公正的信息安全管理体系认证服务的能力。
