CNAS-SC170:2024《信息安全管理体系认证机构认可方案》是中国合格评定国家认可委员会(CNAS)制定的文件,用于规范对信息安全管理体系(ISMS)认证机构的认可要求。该方案基于国际标准ISO/IEC17021-1(合格评定管理体系审核认证机构要求)和ISO/IEC27006(信息安全管理体系认证机构要求),结合中国实际情况制定,旨在确保认证机构具备实施ISMS认证的能力,并保证其认证活动的公正性、一致性和可靠性。主要内容包括:1.**适用范围**:明确方案适用于CNAS对ISMS认证机构的认可活动。2.**规范性引用文件**:列出相关国际标准、国家标准和CNAS文件。3.**术语和定义**:采用ISO/IEC17000和ISO/IEC27000中的术语。4.**认可要求**:详细规定认证机构在资源管理、认证过程、公正性、保密性、风险管理等方面的要求。-认证机构需具备足够的审核员和能力管理机制。-认证过程需包括申请评审、审核策划、现场审核、认证决定和监督等环节。5.**认可程序**:说明CNAS对认证机构的申请、评审、认可决定和监督流程。6.**附录**:提供补充信息或指导,如审核时间计算、专业领域分类等。该方案于2024年发布,替代旧版文件,进一步强化了对认证机构的专业性和一致性的要求,促进ISMS认证在中国市场的可信度和国际互认。
