关于发布 CNAS—CC170：2024《信息安全管理体系认证机构要求》等4份文件及其实施安排的通知

国际标准化组织（ISO）于2024年3月发布了ISO/IEC 27006—1：2024《信息安全、网络安全和隐私保护信息安全管理体系审核和认证机构要求  第1部分：通用》，该标准代替原ISO/IEC 27006：2015 及其相应的修改单。国际认可论坛（IAF）已于2024年5月发布了强制性文件 IAF MD29：2024《ISO/IEC 27006—1：2024转换要求》（第1版）。该文件识别了ISO/IEC 27006—1：2024的主要变化及影响，提出了本次转换周期，并规定了认可机构和认证机构对信息安全管理体系（ISMS）实施转换过程的具体要求。

中国合格评定国家认可委员会（CNAS）根据国际组织要求，结合自身开展ISMS认证机构认可业务的工作实践，对相应认可规范文件进行了修订，并编制了指导ISMS认可制度转换工作的认可说明文件，具体如下：

1. 修订专用认可准则 CNAS—CC170：2024《信息安全管理体系认证机构要求》，内容等同采用国际标准ISO/IEC 27006—1：2024，代替 CNAS—CC170：2015；

2. 修订认可方案 CNAS—SC170：2024《信息安全管理体系认证机构认可方案》，代替 CNAS—SC170：2017；

3. 制定认可说明文件 CNAS—EC—070：2024《关于CNAS—CC170和 SC170 认可规范换版的认可转换说明》。

另外，考虑信息技术服务管理体系（ITSMS）与信息安全管理体系（ISMS）两个认可制度的关联性，本次协调修订了认可方案CNAS—SC175：2024《基于 ISO—IEC 2000—1 的服务管理体系认证机构认可方案》，代替 CNAS—SC175：2017；本次修订无需认证机构进行 ITSMS 转换申请，发布即实施，旧版文件失效。

经批准，2024年9月30日修订发布并实施CNAS—CC170：2024、CNAS—SC170：2024、CNAS—SC175：2024 三份认可规范文件；指导本次 ISMS 转换的认可说明文件 CNAS—EC—070：2024 于2024 年9月30日起发布即实施。

以上认可规范文件可在 CNAS 网站“认可规范—认证机构认可”栏目下载，请相关机构遵照实施。

相关链接：

1. CNAS—CC170：2024《信息安全管理体系认证机构要求》