CNAS-EC-070：2024《關于CNAS-CC170和SC170認可規(guī)范換版的認可轉換說明》

關于CNAS-CC170和CNAS-SC170認可規(guī)范換版的轉換說明國際標準化組織(ISO)于2024年3月發(fā)布了ISO/IEC27006-1:2024《信息安全、網(wǎng)絡安全和隱私保護信息安全管理體系審核和認證機構要求第1部分：通用》,該標準代替了ISO/IEC27006:2015及其相應的修改單。可從ISO網(wǎng)站(https://www.iso.ora/store.html)或中國標準信息服務網(wǎng)國際認可論壇(IAF)在2024年5月發(fā)布了IAFMD29:2024《ISO/IEC27006-1:2024轉換要求》(第1版)。該文件識別了ISO/IEC27006-1:2024的主要變發(fā)布了CNAS-CC170:2024《信息安全管理體系認證機構要求》,以取代并發(fā)布了CNAS-SC170:2024《信息安全管理體系認證機構認可方案》,以取代1)附錄1和附錄2分別提供了CNAS-CC170:2024與CNAS-CC170:2015、2)以上規(guī)范文件將于2024年9月30日實施，后文中“新版認可規(guī)范”代指CNAS-CC170:2024和CNAS-SC170:2024,“舊版認可規(guī)范”代指CNAS-CC170:2015和CNAS-SC170:2017。本轉換說明用于指導開展CNAS-CC170:2024和CNAS-SC170:2024的轉換活審認可機構完成對不晚于ISO/IEC27006-1:2024發(fā)布月認證機構不再依據(jù)舊版認可規(guī)范認證機構獲得新版認可規(guī)范的認可后，應在初次認證審核和再/排是5)確保受變更影響的相關人員對新版認可規(guī)范和轉換過程具備能力。5.2.2認證機構轉換安排應明確依據(jù)CNAS-CC170:2024（ISO/IEC27006-1:2024,5.2.3認證機構的轉換計劃應考慮相關5.2.4CNAS-CC170:2024中修改了確定審核時間的要求，1)申請專項認可轉換時，CNAS6.1.2無論采取何種轉換方式，已認可的認否是審查認證機構的差距分析、轉換計劃/實施計劃、與認證機構相應變更有關的文件（包括必要的實施證據(jù)）是如果認可機構通過技術性文件評審能夠審查認證機構針對轉換所需進行的變更及其實施情況，則不需要安排對認證機構總部的辦公室評審；否則，需要進行辦公否是當所有已識別的問題已經(jīng)得到適當解決且已證實了認證機構的能力時，認可機構應作出與新版認可規(guī)范轉在轉換評審過程中可能需要認證機構補充提交評審資料2）新增“控制”、“外部環(huán)境”2）調(diào)整個別條款的要求，以與7.2參與認證活動的人員7.2參與認證活動的人員7.3外部審核員和外部技術7.3外部審核員和外部技術增加了對完全遠程實施業(yè)務活動的調(diào)整了在認證文件中引用控制類文8.3認證的引用和標志的使用8.3認證的引用和標志的使用制8.5認證機構與其客戶間的8.5認證機構與其客戶組織增加了“認證程序的考慮”，該條9.2.2選擇和指派審核組9.2.2選擇和指派審核組核增加與遠程審核、遠程實施業(yè)務活10認證機構的管理體系要求10認證機構的管理體系要求審核與認證所需的知識和技能能間很大比例從事某些相同的活動時，容刪除了術語“認證范圍”和“專4ISMS認證機構認可規(guī)范4ISMS認證機構認可規(guī)范R.3對認證機構客戶的信息附錄A（規(guī)范性附錄）ISMS認證機構認證業(yè)務范圍分類認證機構認證業(yè)務范圍分類息安全技術領域和通用信息1□信息安全管理體系（ISO/IEC27001）□申請專項評審□申請結合例行認可保持實施轉換◆能夠在轉換期內(nèi)完成對客戶的認證轉換◆在轉換過程中認可標識的使用能夠滿足認2□所完成的差異分析識別認證機構針對轉換所需實施3認可業(yè)務范圍管理的變更需求□需要機構對文件程序調(diào)整□不需要調(diào)整文件程序□需要調(diào)整人員能力準則□不需要調(diào)整人員能力準則□需要調(diào)整技術領域分析相關文件□不需要調(diào)整技術領域分析相關文件□其他說明：（如有請簡述）□人員的培訓和評價計劃覆蓋各認證職能3□其他培訓評價安排（如有）□規(guī)定了機構對獲證客戶實施新版認可□規(guī)定了實施新版認可規(guī)范的安排。包括□已將機構實施新版認可規(guī)范的安排告4□需要修訂文件并已按計劃進行□不需要調(diào)整文件程序□其他安排，如：對計劃或轉換工作的調(diào)□□提供至少2名審核員的培訓和評價記錄□提供至少1名認證