CNAS-SC18：2012信息安全管理体系认证机构认可方案

CNAS-SC18:2012《信息安全管理体系认证机构认可方案》是由中国合格评定国家认可委员会（CNAS）发布的，用于规范信息安全管理体系（ISMS）认证机构的认可活动。该方案明确了对于申请和获得认可的ISMS认证机构，必须理解和遵循的认可规范要求，以及相关的认可程序。下面将详细介绍该方案中涉及的知识点。 **一、认可方案的范围与目的** 1. 《CNAS-SC18:2012》旨在确保CNAS对遵循GB/T22080-2008（等同于ISO/IEC27001:2005）标准的ISMS认证机构实施的一致性和认可的评审。该方案提供了一套补充说明和指南，以指导ISMS认证机构理解和执行CNAS的认可规范要求。 2. 该方案的实施时间是2012年4月1日，旨在替代原先的CNAS-EC-027:2010文件，作为新的认可方案首次发布。 **二、规范性引用文件** 1. 本方案引用了多个规范性文件，如《CNAS-RC01 认证机构认可规则》、《CNAS-CC01 管理体系认证机构要求》、《CNAS-CC17 信息安全管理体系认证机构要求》等，明确了认可活动的基本程序规则和要求。 2. 新增引用了ISO/IEC27007《信息技术安全技术信息安全管理体系审核指南》和ISO/IEC TR 27008《信息技术安全技术审核员的信息安全控制措施指南》，对ISMS审核和信息安全控制措施指南进行了更新和完善。 **三、术语和定义** 1. 认证业务范围：指认证机构在ISMS认证活动中所涉及的行业领域。附录A对认证业务范围进行了分类与分级，包括“政务”、“公共”、“商务”、“产品的生产”四大类，并细分为多个中类，每个中类按风险水平分为一、二、三级别。 2. 能力：指应用知识和技能实现预期结果的能力。 3. 技术领域：指与ISMS相关的过程共性特征领域。 4. 专业能力：指在特定技术领域应用知识实现预期结果的能力。 **四、ISMS认证机构认可规范的构成** 1. 认可申请（R.1）、预访问（R.2）、初次认可的见证评审（R.3）、认证业务范围的认可（R.4）等程序，确保认证机构遵循既定的流程和标准。 2. 认证协议（C.1）、风险评估和责任安排（C.2）、ISMS审核员必备条件（C.3）、ISMS认证证书（C.4）、保密（C.5）等方面的要求。 3. ISMS的变化（C.6）、已认可的ISMS认证的转换（C.7）、认证申请（C.8）以及认证审核相关要求（C.9）的处理规范。 4. 认证机构的信息安全管理体系（C.10）的建立和维护，以确保其具备执行业务的能力。 **五、指南部分** 1. G.1 ISMS认证机构能力分析和评价系统指南：提供了对认证机构能力的分析和评价方法。 2. G.2 ISMS审核范围和认证范围界定指南：阐述了如何正确界定ISMS审核和认证的范围。 3. G.3 ISMS审核时间确定指南：为确定合理的审核时间提供了指导。 **六、附录** 1. 附录A（规范性附录）提供了ISMS认证机构认证业务范围的分类与分级。 2. 附录B（资料性附录）给出了通用信息安全技术领域和通用信息技术领域的参考分类、知识点及应用。 通过上述各个部分的详细规定和指南，CNAS-SC18:2012《信息安全管理体系认证机构认可方案》为ISMS认证机构的认可活动提供了全面的规范，确保了认证机构能提供符合国际标准的信息安全管理体系认证服务。此方案强调了认证机构在实施认证过程中的专业性、规范性以及对安全控制措施的严格执行，确保了信息安全管理体系的实施效果。