CCRC資質認證實施規(guī)則最新版

根據(jù)信息安全服務資質認證業(yè)務現(xiàn)狀及發(fā)展需要，中國網絡安全審查技術與認證中心對服務資質認證規(guī)范及實施規(guī)則進行了修訂，新版CCRC-ISV-R01:2021《信息安全服務資質認證實施規(guī)則》從2023年10月15日發(fā)布之日起正式實施。具體如下：

1 適用范圍

本規(guī)則用于規(guī)范中國網絡安全審查技術與認證中心(簡稱中心)開展信息安全服務認證活動。

2 認證依據(jù)

CCRC-ISV-C01《信息安全服務規(guī)范》

3 認證模式

初次認證+獲證后監(jiān)督

4 認證級別

信息安全服務認證級別分為一級、二級、三級，其中一級為最高級別。

5 認證基本環(huán)節(jié)

1) 認證申請及受理

2) 文件審核

3) 現(xiàn)場審核

4) 結果評價與決定

5) 獲證后監(jiān)督

6 認證程序

6.1 認證申請及受理

6.1.1 認證申請

初次認證(含增項、升降級等)申請，申請組織至少提供以下必要的信息：

1) 認證申請書，包括但不限于以下內容：

a) 申請組織基本信息，包括業(yè)務活動、組織架構、聯(lián)系人信息、物理位置、服務和申請級別等基本內容;

b) 法律地位資格證明(營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書，組織代碼證和稅務登記證(如果有));獨立法人實體的一部分，經法人批準成立，法人實體能為申請人開展的活動承擔相關的法律責任;

c) 業(yè)務運行時間的證明材料;

d) 取得相關法規(guī)規(guī)定的行政許可文件(適用時)。

2) 自評估表，包括但不限于：

a) 組織根據(jù)認證依據(jù)所進行的符合性評價;

b) 評價結論所需要的證據(jù)材料。

6.1.2 申請評審

中心根據(jù)認證依據(jù)、程序等要求，對申請組織提交的認證申請書、自評估信息及其相關資料進行評審并保存評審記錄，做出評審結論，以確定：

1) 所需要的基本信息及自評估信息都得到提供;

2) 申請組織的行業(yè)類別和與之相對應服務的過程特性和管理要求;

3) 對應行業(yè)的管理要求;

4) 中心與申請組織之間任何已知的理解差異得到消除;

5) 中心有能力并能夠實施所申請的認證活動;

6) 申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素。

6.1.3 方案建立

在申請評審通過后，中心針對申請組織建立審核方案。審核方案應明確所涉及的文件審核、現(xiàn)場審核等各階段的活動安排，并根據(jù)中心的人日計算標準確定審核人日。

6.2 初次認證

6.2.1 文件審核

文件審核應根據(jù)申請組織提交的申請材料及自評估表進行評審，確保滿足認證依據(jù)的要求。

文件審核應確認申請組織是否針對所涉及的所有認證規(guī)范條款進行了自我評價并提供了充足的證據(jù)證明其滿足認證規(guī)范的要求，內容包括但不限于：

1) 提供的基本信息，包括法律地位、財務、辦公場所、人員能力、業(yè)績等;

2) 服務管理制度文件的發(fā)布時間，確認是否滿足運行時間;

3) 服務管理制度文件的內容是否滿足認證規(guī)范的要求;

4) 服務管理制度文件的覆蓋范圍是否與申請的范圍保持一致;

5) 提供的制度文件執(zhí)行證據(jù)是否充分;

6) 提供的證據(jù)是否能夠證明其技術能力。

6.2.2 現(xiàn)場審核

現(xiàn)場審核包含申請組織辦公現(xiàn)場及其服務實施現(xiàn)場。一級和二級項目在文件審核通過后，實施現(xiàn)場審核。三級項目根據(jù)文件審核結論經中心復核后，必要時實施現(xiàn)場審核。

現(xiàn)場審核應根據(jù)文件審核的結果，對文件審核中查閱的證據(jù)材料進行現(xiàn)場驗證，必要時重新抽樣，現(xiàn)場審核內容包括但不限于：

1) 對客戶的法律地位、財務資信、辦公場所、人員能力等多個方面進行現(xiàn)場驗證;

2) 對客戶的服務管理執(zhí)行情況進行現(xiàn)場驗證;

3) 對客戶的服務技術能力進行跟蹤驗證，包括已結束項目的和正在執(zhí)行項目。驗證方式包括但不限于：文件和記錄查閱、人員訪談、現(xiàn)場核查等。

6.2.3 結果評價與決定

審核完成后，中心對審核結果及相關資料進行綜合評價，做出認證決定，符合認證要求的頒發(fā)認證證書，不符合認證要求的認證終止。

6.3 獲證后監(jiān)督

6.3.1 頻次和方式

自獲證后12-18個月內至少進行1次監(jiān)督審核。監(jiān)督審核對象為獲證組織。當獲證組織持有多張證書時，應以最早的獲證日期發(fā)起監(jiān)督審核，其他證書合并審核。獲證后監(jiān)督活動可采取以下方式進行：

1) 文件審核;

2) 現(xiàn)場審核;

3) 其他監(jiān)督獲證組織的方法。

若獲證組織在證書有效期內出現(xiàn)以下情況之一，中心應視情況增加監(jiān)督頻次：

1) 獲證組織發(fā)生重大變更，例如組織架構、關鍵辦公場所、服務管理過程等發(fā)生變更;

2) 針對獲證組織的投訴;

3) 獲證組織出現(xiàn)重大服務質量事故或風險隱患等。

必要情況下，中心可采取事先不通知的方式對獲證組織進行飛行檢查。

6.3.2 信息收集

獲證組織應于監(jiān)督審核前3個月，提交安全服務管理與安全服務能力的相關信息，以確定獲證組織的安全服務管理與安全服務能力相關信息是否發(fā)生變化。提供的信息包括以下幾個方面：

1) 信息確認文件，包括但不限于：

a) 基本信息，包括組織名稱、地址、聯(lián)系人、法人等信息的變化情況;

b) 組織信息，包括范圍、組織架構、人員數(shù)量等信息的變化情況;

c) 服務管理體系相關信息，關鍵文件化信息的變化情況。

2) 自評估信息，包括但不限于：

a) 安全服務管理運行情況，包括運行說明和運行證據(jù);

b) 安全服務管理監(jiān)視、測量、分析和評價的結果和證據(jù);

c) 安全服務管理運行的持續(xù)改進情況，包括改進說明和證據(jù);

d) 滿足法律法規(guī)的情況說明;

e) 對安全服務管理符合性的自我評價。

6.3.3 方案維護

中心結合獲證組織的實際情況，對審核方案進行維護調整，包括：監(jiān)督審核的頻次和覆蓋范圍、監(jiān)督審核方式、審核人日等，并確定相關活動的安排。應重點關注獲證組織的多方向的服務實施現(xiàn)場，并結合實際情況，確保在一個認證周期內應覆蓋全部的服務方向。

6.3.4 監(jiān)督審核實施

認證周期內的監(jiān)督審核應覆蓋認證依據(jù)所有條款，監(jiān)督審核采取抽樣的方式進行，抽樣準則為：

1) 一個認證周期內的監(jiān)督審核必須覆蓋標準所有條款和所有部門;

2) 標準中對服務管理過程有決定作用的條款和部門每次監(jiān)督審核都需要抽到;

3) 獲證組織前一次審核問題較多的條款在本次監(jiān)督審核中需要抽到;

4) 審核組認為重要的條款應考慮進行抽樣。

每次監(jiān)督審核的內容應包括以下方面：

1) 對上次審核中確定的不符合及觀察項采取的措施;

2) 投訴的處理;

3) 安全服務管理與安全服務能力在實現(xiàn)獲證客戶目標的有效性;

4) 任何變更。

6.3.5 獲證后監(jiān)督結果的評價

監(jiān)督審核完成后，中心對審核結果及相關資料進行綜合評價。評價通過的，認證證書持續(xù)有效，評價不通過的，按照本規(guī)則第7章的暫停、注銷及撤銷的相關規(guī)定處理。

7 認證證書

7.1 證書內容

認證證書內容至少包括以下方面：

1) 認證證書名稱，例如：信息安全服務資質認證證書;

2) 證書編號;

3) 獲證組織名稱、注冊地址、辦公地址;

4) 符合本規(guī)則第2章的認證依據(jù);

5) 通過認證的服務類別;

6) 首次頒證日期、換證日期以及證書有效期的起止年月日;

7) 中心的名稱及其標志;

8) 中心的印章和法定代表人代表或其授權人的簽字;

9) 認可標識及認可注冊號(應為國家認監(jiān)委確定的認可機構的標識，以申請認可為目的發(fā)出的證書可沒有此內容)。

7.2 認證證書管理

7.2.1 認證證書的保持

本規(guī)則覆蓋服務的認證證書有效期為 3 年。證書有效性通過獲證后監(jiān)督維持。

獲證組織應在證書有效期屆滿前至少 3 個月提交換證申請。認證證書有效期內且最后一次監(jiān)督審核結果合格的，換發(fā)新證書;獲證組織在證書有效期屆滿時未提出換證申請的，其證書到期后失效。

7.2.2 認證證書的變更

獲證組織證書內容變更時，應向中心提出變更申請，并按照要求提交相關材料。

1) 如果認證變更只涉及到獲證組織名稱、注冊地址的變更，獲證組織須遞交變更申請及工商變更證明材料等，經認證決定后，中心換發(fā)新證書并收回原證書;

2) 如果獲證組織受審核地址變更時，可與監(jiān)督審核合并進行，審核通過后換發(fā)新證書并收回原證書。

7.2.3 認證證書的暫停

獲證組織有下列情形之一，認證機構應暫停其認證證書：

1) 獲證組織的服務管理持續(xù)地或嚴重地不滿足認證要求;

2) 逾期未按規(guī)定進行監(jiān)督審核;

3) 違規(guī)使用認證證書，且未造成不良影響;

4) 監(jiān)督審核有嚴重不符合項;

5) 獲證組織主動請求暫停;

6) 其他需要暫停證書的情況。

在暫停認證期間，獲證組織的服務認證證書暫時無效，中心應使認證證書的暫停信息可公開獲取。

證書暫停時間一般為3個月，最長不超過6個月。在證書暫停期間，組織可提出恢復證書的申請，并經認證機構審核、批準后方可使用證書。

7.2.4 認證證書的注銷

獲證組織因自身原因申請注銷認證證書，中心予以注銷。認證證書注銷后，中心予以公示。

7.2.5 認證證書的撤銷

獲證組織有下列情形之一，應撤銷其認證證書：

1) 逾期6個月未按規(guī)定進行監(jiān)督審核的;

2) 證書暫停期間，未在規(guī)定時間內完成整改并通過驗證;

3) 違規(guī)使用認證證書，造成不良影響;

4) 獲證組織出現(xiàn)嚴重責任事故、被投訴且經核實，影響其繼續(xù)有效提供服務;

5) 其他需要撤銷證書的情況。

認證證書撤銷后，中心予以公示。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202201/ccaa_33253.html