近日，中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)發(fā)布關(guān)于CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》等文件網(wǎng)上征求意見(jiàn)的通知。

各相關(guān)機(jī)構(gòu)及人員：

國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2024年3月發(fā)布了ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分：通用》，該標(biāo)準(zhǔn)代替了ISO/IEC 27006:2015及其相應(yīng)的修改單。國(guó)際認(rèn)可論壇(IAF)在2024年5月發(fā)布了IAF MD29:2024《ISO/IEC 27006-1:2024轉(zhuǎn)換要求》(第1版)。該文件識(shí)別了ISO/IEC 27006-1:2024的主要變化及影響，提出了本次轉(zhuǎn)換周期，并規(guī)定了認(rèn)可機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)實(shí)施轉(zhuǎn)換過(guò)程的具體要求。

為落實(shí)ISO、IAF的相關(guān)工作安排，指導(dǎo)已獲CNAS認(rèn)可的信息安全管理體系(ISMS)認(rèn)可機(jī)構(gòu)有序完成有關(guān)的認(rèn)可轉(zhuǎn)換工作，中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)制定了CNAS-EC-0XX《關(guān)于CNAS-CC170&SC170認(rèn)可規(guī)范換版的認(rèn)可轉(zhuǎn)換說(shuō)明》。CNAS按照等同采用ISO/IEC 27006-1:2024的原則，修訂CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》，以取代現(xiàn)行的CNAS-CC170:2015.同時(shí)根據(jù)CNAS-CC170:2024相關(guān)要求以及ISMS認(rèn)可經(jīng)驗(yàn)總結(jié)，CNAS將修訂CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC170:2017.

根據(jù)ITSMS認(rèn)可經(jīng)驗(yàn)總結(jié),并考慮信息技術(shù)服務(wù)管理體系(ITSMS)與信息安全管理體系(ISMS)兩個(gè)認(rèn)可制度的管理一致性，本次協(xié)調(diào)修改了CNAS-SC175:202X《基于ISO/IEC 20000-1的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC175:2017.本次ITSMS無(wú)需進(jìn)行轉(zhuǎn)換，不設(shè)置過(guò)渡期，自文件發(fā)布之日，舊版文件失效。

現(xiàn)于網(wǎng)上征集各方意見(jiàn)，請(qǐng)相關(guān)單位和人員將有關(guān)建議或意見(jiàn)填寫(xiě)至"意見(jiàn)征詢(xún)表"中，并于2024年8月14日前反饋CNAS。

聯(lián)系人：方潔

Email：fangj@cnas.org.cn

附件：

1.CNAS-SC170_202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》征求意見(jiàn)稿

2.CNAS-SC175_202X《基于ISO-IEC 20000-1的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》征求意見(jiàn)稿

3.CNAS-SC175：202X修訂差異對(duì)照表

4.CNAS-EC-0XX_2024《關(guān)于CNAS-CC170&SC170認(rèn)可規(guī)范換版的認(rèn)可轉(zhuǎn)換說(shuō)明》

5.CNAS-CC170 202X等認(rèn)可規(guī)范文件修訂說(shuō)明

6.CNAS文件意見(jiàn)征詢(xún)表

中國(guó)合格評(píng)定國(guó)家認(rèn)可中心

CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》等認(rèn)可規(guī)范文件修訂說(shuō)明

一、 任務(wù)來(lái)源和背景

國(guó)際標(biāo)準(zhǔn)化組織(ISO)于 2024 年 3 月發(fā)布了 ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第 1 部分：通用》，該標(biāo)準(zhǔn)代替了 ISO/IEC 27006:2015 及其相應(yīng)的修改單。

國(guó)際認(rèn)可論壇(IAF)在 2024 年 5 月發(fā)布了 IAF MD29:2024《ISO/IEC 27006-1:2024轉(zhuǎn)換要求》(第1版)。該文件識(shí)別了ISO/IEC 27006-1:2024的主要變化及影響，提出了本次轉(zhuǎn)換周期，并規(guī)定了認(rèn)可機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)實(shí)施轉(zhuǎn)換過(guò)程的具體要求。該標(biāo)準(zhǔn)過(guò)渡期為 2 年，即自 2024 年即 3 月 31 日起至 2026 年 3 月 31 日止。

為落實(shí) IAF-MD29 的相關(guān)要求，CNAS 按照等同采用 ISO/IEC27006-1:2024 的原則，修訂了 CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》，以取代現(xiàn)行的 CNAS-CC170:2015.此外，CNAS 根據(jù)CNAS-CC170:202X 相關(guān)要求以及 ISMS 認(rèn)可經(jīng)驗(yàn)總結(jié)，將發(fā)布CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC170:2017.考慮信息技術(shù)服務(wù)管理體系與信息安全管理體系兩個(gè)認(rèn)可制度的關(guān)聯(lián)性，本次協(xié)調(diào)修改了 CNAS-SC175:202X《基于ISO-IEC 2000-1 的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》，以取代CNAS-SC175:2017

二、 文件修訂的主要內(nèi)容

1、 CNAS-CC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》

——在規(guī)范性引用文件中刪除 ISO/IEC 27000;

——增加“控制”、“外部環(huán)境”、“信息安全”等術(shù)語(yǔ);

——調(diào)整審核員工作經(jīng)歷、培訓(xùn)經(jīng)歷和審核經(jīng)歷要求;

——修改遠(yuǎn)程審核的相關(guān)要求;

——新增認(rèn)證文件中引用其他標(biāo)準(zhǔn)的要求;

——修改審核時(shí)間計(jì)算的相關(guān)要求;

——依據(jù) CNAS-CC170:2024 附錄 A 中的信息安全控制，更新附錄 E;

2、 CNAS-SC170:202X《信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》

——對(duì)認(rèn)證業(yè)務(wù)范圍的認(rèn)可描述進(jìn)行調(diào)整;

——明確見(jiàn)證評(píng)審要求;

——對(duì)于現(xiàn)有認(rèn)可規(guī)范文件中已進(jìn)行明確規(guī)定的內(nèi)容予以刪除，保持相關(guān)文件的協(xié)調(diào)統(tǒng)一，如認(rèn)可申請(qǐng)、預(yù)訪問(wèn)、風(fēng)險(xiǎn)評(píng)估和責(zé)任安排的內(nèi)容、ISMS 認(rèn)證證書(shū)等內(nèi)容;

——基于認(rèn)證業(yè)務(wù)的發(fā)展，刪除 ISMS 認(rèn)證機(jī)構(gòu)能力分析和評(píng)價(jià)系統(tǒng)指南;刪除資料性附錄 通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域參考分類(lèi)、知識(shí)點(diǎn)及應(yīng)用;

——調(diào)整部分業(yè)務(wù)范圍的等級(jí)，調(diào)整 02.05 為一級(jí)、02.07 為二級(jí)、03.05 為二級(jí);

3、 CNAS-SC175:202X《基于 ISO-IEC 2000-1 的服務(wù)管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案》

——對(duì)認(rèn)證業(yè)務(wù)范圍的認(rèn)可描述進(jìn)行調(diào)整;

——明確見(jiàn)證評(píng)審要求;

——對(duì)于現(xiàn)有認(rèn)可規(guī)范文件中已進(jìn)行明確規(guī)定的內(nèi)容予以刪除，保持相關(guān)文件的協(xié)調(diào)統(tǒng)一，如預(yù)訪問(wèn)、信息通報(bào)等內(nèi)容;

——調(diào)整部分表述，保持與 CNAS-SC170 協(xié)調(diào)統(tǒng)一。

三、文件實(shí)施建議

本次修訂為文件換版修訂，三個(gè)認(rèn)可規(guī)范文件均擬于 2024 年 9月 30 日發(fā)布，2025 年 9 月 30 日實(shí)施。

其中 CNAS-CC170 過(guò)渡期為 2024 年即 9 月 30 日起至 2026 年 3月 31 日止，舊版文件于 2026 年 3 月 31 日失效。

CNAS-SC170、CNAS-SC175 不設(shè)置過(guò)渡期，自文件發(fā)布之日，舊版文件失效。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：中國(guó)政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://m.rumin8raps.com/news/202408/xwif_51603.html