關于CNAS-CC170和CNAS-SC170認可規范換版的轉換說明國際標準化組織（ISO）于2024年3月發布了ISO/IEC27006-1:2024《信息安全、網絡安全和隱私保護信息安全管理體系審核和認證機構要求第1部分：通用》，該標準代替了ISO/IEC27006:2015及其相應的修改單。可從ISO網站（/store.html）或中國標準信息服務網（/）購買ISO/IEC27006-1:2024。IAFMD29可從IAF網站下載https://iaf.nu/en/iaf-documents/?cat_id=7）。1.3CNAS發布CNAS-CC17為落實IAF-MD29的相關要求，CNAS按照等同采用ISO/IEC27006-1:2024的原則，CNAS-CC170:2015。此外，CNAS根據CNAS-CC170:2024以及ISMS認可經驗總結，修訂1）附錄1和附錄2分別提供了CNAS-CC170:2024與CNAS-CC170:2015、CNAS-SC170:2024與CNAS-SC170:2017的條款對照關系。2）以上規范文件將于2024年9月30日實施，后文中“新版認可規范”代指CNAS-CC170:2024和CNAS-SC170:2024，“舊版認可規范”代指CNAS-CC170:2015和CNAS-SC170:2017。本轉換說明用于指導開展CNAS-CC170:2024和CNAS-SC170:2024的轉換活編號:CNAS-EC-070:2024審認可機構完成對不晚于ISO/IEC27006-1:2024發布月認證機構不再依據舊版認可規范實施初次認證審認證機構獲得新版認可規范的認可后，應在初次認證審核和再編號:CNAS-EC-070:2024/排是5)確保受變更影響的相關人員對新版認可規范和轉換過程具備能力。5.2.2認證機構轉換安排應明確依據CNAS-CC170:2024（ISO/IEC27006-1:2024,5.2.3認證機構的轉換計劃應考慮相關5.2.4CNAS-CC170:2024中修改了確定審核時間的要求，1)申請專項認可轉換時，CNAS編號:CNAS-EC-070:20246.1.2無論采取何種轉換方式，已認可的認否是審查認證機構的差距分析、轉換計劃/實施計劃、與認證機構相應變更有關的文件（包括必要的實施證據）是如果認可機構通過技術性文件評審能夠審查認證機構針對轉換所需進行的變更及其實施情況，則不需要安排對認證機構總部的辦公室評審；否則，需要進行辦公否是當所有已識別的問題已經得到適當解決且已證實了認證機構的能力時，認可機構應作出與新版認可規范轉在轉換評審過程中可能需要認證機構補充提交評審資料編號:CNAS-EC-070:20246.4.2通過轉換評審之后，CNAS所附錄ACNAS-CC170:20編號:CNAS-EC-070:20242）新增“控制”、“外部環境”2）調整個別條款的要求，以與7.2參與認證活動的人員7.2參與認證活動的人員7.2.2證實審核員的知識7.3外部審核員和外部技術7.3外部審核員和外部技術增加了對完全遠程實施業務活動的調整了在認證文件中引用控制類文8.3認證的引用和標志的使用8.3認證的引用和標志的使用刪除了原8.4.1IS8.4認證標志的控制編號:CNAS-EC-070:20248.5認證機構與其客戶間的8.5認證機構與其客戶組織增加了“認證程序的考慮”，該條9.2.2選擇和指派審核組9.2.2選擇和指派審核組核增加與遠程審核、遠程實施業務活編號:CNAS-EC-070:202410認證機構的管理體系要求10認證機構的管理體系要求審核與認證所需的知識和技能能間很大比例從事某些相同的活動時，編號:CNAS-EC-070:2024容刪除了術語“認證范圍”和“專CNAS-RC01中的術語和定義適用4ISMS認證機構認可規范4ISMS認證機構認可規范R.3對認證機構客戶的信息附錄A（規范性附錄）ISMS認證機構認證業務范圍分類認證機構認證業務范圍分類息安全技術領域和通用信息12識別認證機構針對轉換所需實施3認可業務范圍管理的變更需求□人員的培訓和評價計劃覆蓋各認證職能