CCRC資質認證實施規則最新版
根據信息安全服務資質認證業務現狀及發展需要,中國網絡安全審查技術與認證中心對服務資質認證規范及實施規則進行了修訂,新版CCRC-ISV-R01:2021《信息安全服務資質認證實施規則》從2023年10月15日發布之日起正式實施。具體如下:
1 適用范圍
本規則用于規范中國網絡安全審查技術與認證中心(簡稱中心)開展信息安全服務認證活動。
2 認證依據
CCRC-ISV-C01《信息安全服務規范》
3 認證模式
初次認證+獲證后監督
4 認證級別
信息安全服務認證級別分為一級、二級、三級,其中一級為最高級別。
5 認證基本環節
1) 認證申請及受理
2) 文件審核
3) 現場審核
4) 結果評價與決定
5) 獲證后監督
6 認證程序
6.1 認證申請及受理
6.1.1 認證申請
初次認證(含增項、升降級等)申請,申請組織至少提供以下必要的信息:
1) 認證申請書,包括但不限于以下內容:
a) 申請組織基本信息,包括業務活動、組織架構、聯系人信息、物理位置、服務和申請級別等基本內容;
b) 法律地位資格證明(營業執照、事業單位法人證書或社會團體法人登記證書,組織代碼證和稅務登記證(如果有));獨立法人實體的一部分,經法人批準成立,法人實體能為申請人開展的活動承擔相關的法律責任;
c) 業務運行時間的證明材料;
d) 取得相關法規規定的行政許可文件(適用時)。
2) 自評估表,包括但不限于:
a) 組織根據認證依據所進行的符合性評價;
b) 評價結論所需要的證據材料。
6.1.2 申請評審
中心根據認證依據、程序等要求,對申請組織提交的認證申請書、自評估信息及其相關資料進行評審并保存評審記錄,做出評審結論,以確定:
1) 所需要的基本信息及自評估信息都得到提供;
2) 申請組織的行業類別和與之相對應服務的過程特性和管理要求;
3) 對應行業的管理要求;
4) 中心與申請組織之間任何已知的理解差異得到消除;
5) 中心有能力并能夠實施所申請的認證活動;
6) 申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素。
6.1.3 方案建立
在申請評審通過后,中心針對申請組織建立審核方案。審核方案應明確所涉及的文件審核、現場審核等各階段的活動安排,并根據中心的人日計算標準確定審核人日。
6.2 初次認證
6.2.1 文件審核
文件審核應根據申請組織提交的申請材料及自評估表進行評審,確保滿足認證依據的要求。
文件審核應確認申請組織是否針對所涉及的所有認證規范條款進行了自我評價并提供了充足的證據證明其滿足認證規范的要求,內容包括但不限于:
1) 提供的基本信息,包括法律地位、財務、辦公場所、人員能力、業績等;
2) 服務管理制度文件的發布時間,確認是否滿足運行時間;
3) 服務管理制度文件的內容是否滿足認證規范的要求;
4) 服務管理制度文件的覆蓋范圍是否與申請的范圍保持一致;
5) 提供的制度文件執行證據是否充分;
6) 提供的證據是否能夠證明其技術能力。
6.2.2 現場審核
現場審核包含申請組織辦公現場及其服務實施現場。一級和二級項目在文件審核通過后,實施現場審核。三級項目根據文件審核結論經中心復核后,必要時實施現場審核。
現場審核應根據文件審核的結果,對文件審核中查閱的證據材料進行現場驗證,必要時重新抽樣,現場審核內容包括但不限于:
1) 對客戶的法律地位、財務資信、辦公場所、人員能力等多個方面進行現場驗證;
2) 對客戶的服務管理執行情況進行現場驗證;
3) 對客戶的服務技術能力進行跟蹤驗證,包括已結束項目的和正在執行項目。驗證方式包括但不限于:文件和記錄查閱、人員訪談、現場核查等。
6.2.3 結果評價與決定
審核完成后,中心對審核結果及相關資料進行綜合評價,做出認證決定,符合認證要求的頒發認證證書,不符合認證要求的認證終止。
6.3 獲證后監督
6.3.1 頻次和方式
自獲證后12-18個月內至少進行1次監督審核。監督審核對象為獲證組織。當獲證組織持有多張證書時,應以最早的獲證日期發起監督審核,其他證書合并審核。獲證后監督活動可采取以下方式進行:
1) 文件審核;
2) 現場審核;
3) 其他監督獲證組織的方法。
若獲證組織在證書有效期內出現以下情況之一,中心應視情況增加監督頻次:
1) 獲證組織發生重大變更,例如組織架構、關鍵辦公場所、服務管理過程等發生變更;
2) 針對獲證組織的投訴;
3) 獲證組織出現重大服務質量事故或風險隱患等。
必要情況下,中心可采取事先不通知的方式對獲證組織進行飛行檢查。
6.3.2 信息收集
獲證組織應于監督審核前3個月,提交安全服務管理與安全服務能力的相關信息,以確定獲證組織的安全服務管理與安全服務能力相關信息是否發生變化。提供的信息包括以下幾個方面:
1) 信息確認文件,包括但不限于:
a) 基本信息,包括組織名稱、地址、聯系人、法人等信息的變化情況;
b) 組織信息,包括范圍、組織架構、人員數量等信息的變化情況;
c) 服務管理體系相關信息,關鍵文件化信息的變化情況。
2) 自評估信息,包括但不限于:
a) 安全服務管理運行情況,包括運行說明和運行證據;
b) 安全服務管理監視、測量、分析和評價的結果和證據;
c) 安全服務管理運行的持續改進情況,包括改進說明和證據;
d) 滿足法律法規的情況說明;
e) 對安全服務管理符合性的自我評價。
6.3.3 方案維護
中心結合獲證組織的實際情況,對審核方案進行維護調整,包括:監督審核的頻次和覆蓋范圍、監督審核方式、審核人日等,并確定相關活動的安排。應重點關注獲證組織的多方向的服務實施現場,并結合實際情況,確保在一個認證周期內應覆蓋全部的服務方向。
6.3.4 監督審核實施
認證周期內的監督審核應覆蓋認證依據所有條款,監督審核采取抽樣的方式進行,抽樣準則為:
1) 一個認證周期內的監督審核必須覆蓋標準所有條款和所有部門;
2) 標準中對服務管理過程有決定作用的條款和部門每次監督審核都需要抽到;
3) 獲證組織前一次審核問題較多的條款在本次監督審核中需要抽到;
4) 審核組認為重要的條款應考慮進行抽樣。
每次監督審核的內容應包括以下方面:
1) 對上次審核中確定的不符合及觀察項采取的措施;
2) 投訴的處理;
3) 安全服務管理與安全服務能力在實現獲證客戶目標的有效性;
4) 任何變更。
6.3.5 獲證后監督結果的評價
監督審核完成后,中心對審核結果及相關資料進行綜合評價。評價通過的,認證證書持續有效,評價不通過的,按照本規則第7章的暫停、注銷及撤銷的相關規定處理。
7 認證證書
7.1 證書內容
認證證書內容至少包括以下方面:
1) 認證證書名稱,例如:信息安全服務資質認證證書;
2) 證書編號;
3) 獲證組織名稱、注冊地址、辦公地址;
4) 符合本規則第2章的認證依據;
5) 通過認證的服務類別;
6) 首次頒證日期、換證日期以及證書有效期的起止年月日;
7) 中心的名稱及其標志;
8) 中心的印章和法定代表人代表或其授權人的簽字;
9) 認可標識及認可注冊號(應為國家認監委確定的認可機構的標識,以申請認可為目的發出的證書可沒有此內容)。
7.2 認證證書管理
7.2.1 認證證書的保持
本規則覆蓋服務的認證證書有效期為 3 年。證書有效性通過獲證后監督維持。
獲證組織應在證書有效期屆滿前至少 3 個月提交換證申請。認證證書有效期內且最后一次監督審核結果合格的,換發新證書;獲證組織在證書有效期屆滿時未提出換證申請的,其證書到期后失效。
7.2.2 認證證書的變更
獲證組織證書內容變更時,應向中心提出變更申請,并按照要求提交相關材料。
1) 如果認證變更只涉及到獲證組織名稱、注冊地址的變更,獲證組織須遞交變更申請及工商變更證明材料等,經認證決定后,中心換發新證書并收回原證書;
2) 如果獲證組織受審核地址變更時,可與監督審核合并進行,審核通過后換發新證書并收回原證書。
7.2.3 認證證書的暫停
獲證組織有下列情形之一,認證機構應暫停其認證證書:
1) 獲證組織的服務管理持續地或嚴重地不滿足認證要求;
2) 逾期未按規定進行監督審核;
3) 違規使用認證證書,且未造成不良影響;
4) 監督審核有嚴重不符合項;
5) 獲證組織主動請求暫停;
6) 其他需要暫停證書的情況。
在暫停認證期間,獲證組織的服務認證證書暫時無效,中心應使認證證書的暫停信息可公開獲取。
證書暫停時間一般為3個月,最長不超過6個月。在證書暫停期間,組織可提出恢復證書的申請,并經認證機構審核、批準后方可使用證書。
7.2.4 認證證書的注銷
獲證組織因自身原因申請注銷認證證書,中心予以注銷。認證證書注銷后,中心予以公示。
7.2.5 認證證書的撤銷
獲證組織有下列情形之一,應撤銷其認證證書:
1) 逾期6個月未按規定進行監督審核的;
2) 證書暫停期間,未在規定時間內完成整改并通過驗證;
3) 違規使用認證證書,造成不良影響;
4) 獲證組織出現嚴重責任事故、被投訴且經核實,影響其繼續有效提供服務;
5) 其他需要撤銷證書的情況。
認證證書撤銷后,中心予以公示。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
