R.1.1附录A规定了ISMS认证机构认证业务范围分类与分级。R.1.2 CNAS按附录A的业务范围分类进行认可。注:认证机构应在提交认可申请时明确拟申请的业务范围,包括相应的大类或中类。R.1.3 CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位。R.2.1初次认可时,CNAS将至少见证1次认证机构对同一客户实施的第一阶段审核和第二阶审核。1)附录A中每个大类的一级中类分别为一个独立的需强制见证组别,CNAS采取抽样的方式对每个技术组中某个中类实施见证评审。2)附录A中的二级和三级中类为一个非强制见证组别,适用时,CNAS优先选取该技术组中一个风险级别高的某一中类实施见证评审。R.2.3对于已获得认可资格的认证机构,每年应进行至少一次见证评审。在每个完整的5年认可周期内,CNAS至少对一个获认可的强制见证组别实施1次见证评审。当不满足完整的5年认可周期时,优先选取风险等级高的中类实施见证。
当认证机构的客户不同意CNAS在认可评审中访问其信息和相关资产时,认证机构应提前告知CNAS,CNAS将根据评审所受的影响采取相应的措施。
C.1认证协议(CNAS-CC01:20155.1.2)认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定,包括明确认证机构和客户及其有关人员的责任与义务。C.2客户记录的获取(CNAS-CC170:20248.4.2)C.2.1认证机构直接接触客户信息的认证人员(例如审核组成员)宜按照客户的保密要求与客户签署保密协议,或向客户做出保密承诺。C.2.2如果客户事先没有禁止认证机构接触某一信息和相关资产,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件,应立即向客户提出。C.2.3审核组成员不宜在审核过程中以任何方式记录客户的保密或敏感信息。审核组在离开客户前,宜请客户检查和确认审核组携带的文件、资料和设备中未夹带客户的任何保密或敏感信息。C.3 ISMS的变化(CNAS-CC01:20158.5.3)认证机构应要求客户即时报告其ISMS范围内活动边界(见CNAS-CC170:20249.1.3.6)和ISMS适用法律法规的重大变更。C.4认证申请(CNAS-CC01:20159.1.2)C.4.1认证机构应确保认证申请客户承诺遵守工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求,以及有关主管部门/监管部门对信息安全管理体系认证的管理要求(如工信部2011年第21号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等)。C.4.2认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该客户实施认证活动的资格或条件。C.5初次认证第一阶段(CNAS-CC01:20159.3.1.2)认证机构宜合理分配第一阶段审核时间,并予以记录。认证机构应在一阶段对客户的文件化管理体系信息进行充分审核。C.6认证机构的管理体系(CNAS-CC170:202410.1.1)C.6.1认证机构宜在其方针、政策、目标和承诺上体现自身的信息安全意识和追求,并在管理体系的建立和实施中予以体现。C.6.2认证机构宜将自身信息安全绩效作为管理评审的输入,包括考虑认证活动对客户信息安全的影响所采取的管控措施。
