近日，中国合格评定国家认可委员会修订并发布新版CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》，这两份文件将于2020年11月30日实施。

详情如下：

相关机构及人员：

国际标准化组织（ISO）于2020年3月27日发布了对ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》的第1号修改单（文件编号为：ISO/IEC 27006:2015/AMD.1:2020），国际认可论坛（IAF）在2020年8月3日发布了实施该修改单的决议。此外，等同采用ISO/IEC 27006:2015的国家标准GB/T 25067:2020《信息技术 安全技术 信息安全管理体系审核和认证机构的要求》也已经于2020年4月28日发布。

鉴于上述情况,中国合格评定国家认可委员会（CNAS）修订了CNAS-CC170:2015《信息安全管理体系认证认证机构要求》和CNAS-SC170:2017《信息安全管理体系认证机构认可方案》，其中CNAS-CC170:2015为第二次修订，CNAS-SC170:2017为第一次修订。（修订内容简介见附件）

经批准，上述两份文件于2020年8月15日发布，2020年11月30日实施。为履行IAF的相应决议，现对上述文件的实施做如下安排：

1.自2020年8月15日起，新申请信息安全管理体系（ISMS）认可资格的认证机构应依据修订后的CNAS-CC170和CNAS-SC170提出认可申请。

2.自2020年11月30日起，CNAS将按照修订后的CNAS-CC170和CNAS-SC170对新申请和获认可的ISMS认证机构通过办公室评审来评审上述文件的实施情况。上述办公室评审活动应在2022年1月31日前结束，以确保相应的后续认可活动能在2022年3月31日之前完成。对于不能在2022年1月31日前结束的上述办公室评审活动，CNAS将根据认证机构的申请，安排一次针对本次CNAS-CC170和CNAS-SC170文件变化的办公室评审，评审时间按0.5人天计算。

修订后的两份文件可在CNAS网站“认可规范”栏目下载。请相关认证机构遵照执行。

特此通知。

中国合格评定国家认可委员会秘书处

2020年8月13日

附件：

1. CNAS-CC170:2015《信息安全管理体系认证机构要求》（2020第二次修订）修订前后内容差异对照表

注：按照版权要求，CNAS-CC170正文具体内容见GB/T 25967-2020/ISO/IEC 27006:2015，及ISO/IEC 27006:2015/AMD.1:2020。根据ISO/IEC 27006:2015/AMD.1:2020，修改内容包括：修改了7.2.1.1 d)&g)-ISMS审核员审核经历、 8.2.1-在ISMS认证证书中引用行业标准、9.3.1.1-审查第一阶段报告、B.2.1-在组织控制下工作的人员的数量、B.3.6-现场审核时间的计算和B.6-多场所审核时间的计算。

相关链接：CNAS-SC170:2017《信息安全管理体系认证机构认可方案》（2020第一次修订）??

2. CNAS-SC170:2017《信息安全管理体系认证机构认可方案》（2020第一次修订）修订前后内容差异对照表

     相关链接： CNAS-CC170:2015《信息安全管理体系认证机构要求》（2020第二次修订）??

来源：中国合格评定国家认可委员会

声明：本文所用视频、图片、文字部分来源于互联网，版权属原作者所有。如涉及到版权问题，请及时和我们联系，我们会尽快在24小时内删除相关内容，谢谢！