CCRC資質(zhì)認(rèn)證實施規(guī)則最新版

根據(jù)信息安全服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)現(xiàn)狀及發(fā)展需要，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心對服務(wù)資質(zhì)認(rèn)證規(guī)范及實施規(guī)則進行了修訂，新版CCRC-ISV-R01:2021《信息安全服務(wù)資質(zhì)認(rèn)證實施規(guī)則》從2023年10月15日發(fā)布之日起正式實施。具體如下：

1 適用范圍

本規(guī)則用于規(guī)范中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(簡稱中心)開展信息安全服務(wù)認(rèn)證活動。

2 認(rèn)證依據(jù)

CCRC-ISV-C01《信息安全服務(wù)規(guī)范》

3 認(rèn)證模式

初次認(rèn)證+獲證后監(jiān)督

4 認(rèn)證級別

信息安全服務(wù)認(rèn)證級別分為一級、二級、三級，其中一級為最高級別。

5 認(rèn)證基本環(huán)節(jié)

1) 認(rèn)證申請及受理

2) 文件審核

3) 現(xiàn)場審核

4) 結(jié)果評價與決定

5) 獲證后監(jiān)督

6 認(rèn)證程序

6.1 認(rèn)證申請及受理

6.1.1 認(rèn)證申請

初次認(rèn)證(含增項、升降級等)申請，申請組織至少提供以下必要的信息：

1) 認(rèn)證申請書，包括但不限于以下內(nèi)容：

a) 申請組織基本信息，包括業(yè)務(wù)活動、組織架構(gòu)、聯(lián)系人信息、物理位置、服務(wù)和申請級別等基本內(nèi)容;

b) 法律地位資格證明(營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書，組織代碼證和稅務(wù)登記證(如果有));獨立法人實體的一部分，經(jīng)法人批準(zhǔn)成立，法人實體能為申請人開展的活動承擔(dān)相關(guān)的法律責(zé)任;

c) 業(yè)務(wù)運行時間的證明材料;

d) 取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時)。

2) 自評估表，包括但不限于：

a) 組織根據(jù)認(rèn)證依據(jù)所進行的符合性評價;

b) 評價結(jié)論所需要的證據(jù)材料。

6.1.2 申請評審

中心根據(jù)認(rèn)證依據(jù)、程序等要求，對申請組織提交的認(rèn)證申請書、自評估信息及其相關(guān)資料進行評審并保存評審記錄，做出評審結(jié)論，以確定：

1) 所需要的基本信息及自評估信息都得到提供;

2) 申請組織的行業(yè)類別和與之相對應(yīng)服務(wù)的過程特性和管理要求;

3) 對應(yīng)行業(yè)的管理要求;

4) 中心與申請組織之間任何已知的理解差異得到消除;

5) 中心有能力并能夠?qū)嵤┧暾埖恼J(rèn)證活動;

6) 申請的認(rèn)證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認(rèn)證活動的因素。

6.1.3 方案建立

在申請評審?fù)ㄟ^后，中心針對申請組織建立審核方案。審核方案應(yīng)明確所涉及的文件審核、現(xiàn)場審核等各階段的活動安排，并根據(jù)中心的人日計算標(biāo)準(zhǔn)確定審核人日。

6.2 初次認(rèn)證

6.2.1 文件審核

文件審核應(yīng)根據(jù)申請組織提交的申請材料及自評估表進行評審，確保滿足認(rèn)證依據(jù)的要求。

文件審核應(yīng)確認(rèn)申請組織是否針對所涉及的所有認(rèn)證規(guī)范條款進行了自我評價并提供了充足的證據(jù)證明其滿足認(rèn)證規(guī)范的要求，內(nèi)容包括但不限于：

1) 提供的基本信息，包括法律地位、財務(wù)、辦公場所、人員能力、業(yè)績等;

2) 服務(wù)管理制度文件的發(fā)布時間，確認(rèn)是否滿足運行時間;

3) 服務(wù)管理制度文件的內(nèi)容是否滿足認(rèn)證規(guī)范的要求;

4) 服務(wù)管理制度文件的覆蓋范圍是否與申請的范圍保持一致;

5) 提供的制度文件執(zhí)行證據(jù)是否充分;

6) 提供的證據(jù)是否能夠證明其技術(shù)能力。

6.2.2 現(xiàn)場審核

現(xiàn)場審核包含申請組織辦公現(xiàn)場及其服務(wù)實施現(xiàn)場。一級和二級項目在文件審核通過后，實施現(xiàn)場審核。三級項目根據(jù)文件審核結(jié)論經(jīng)中心復(fù)核后，必要時實施現(xiàn)場審核。

現(xiàn)場審核應(yīng)根據(jù)文件審核的結(jié)果，對文件審核中查閱的證據(jù)材料進行現(xiàn)場驗證，必要時重新抽樣，現(xiàn)場審核內(nèi)容包括但不限于：

1) 對客戶的法律地位、財務(wù)資信、辦公場所、人員能力等多個方面進行現(xiàn)場驗證;

2) 對客戶的服務(wù)管理執(zhí)行情況進行現(xiàn)場驗證;

3) 對客戶的服務(wù)技術(shù)能力進行跟蹤驗證，包括已結(jié)束項目的和正在執(zhí)行項目。驗證方式包括但不限于：文件和記錄查閱、人員訪談、現(xiàn)場核查等。

6.2.3 結(jié)果評價與決定

審核完成后，中心對審核結(jié)果及相關(guān)資料進行綜合評價，做出認(rèn)證決定，符合認(rèn)證要求的頒發(fā)認(rèn)證證書，不符合認(rèn)證要求的認(rèn)證終止。

6.3 獲證后監(jiān)督

6.3.1 頻次和方式

自獲證后12-18個月內(nèi)至少進行1次監(jiān)督審核。監(jiān)督審核對象為獲證組織。當(dāng)獲證組織持有多張證書時，應(yīng)以最早的獲證日期發(fā)起監(jiān)督審核，其他證書合并審核。獲證后監(jiān)督活動可采取以下方式進行：

1) 文件審核;

2) 現(xiàn)場審核;

3) 其他監(jiān)督獲證組織的方法。

若獲證組織在證書有效期內(nèi)出現(xiàn)以下情況之一，中心應(yīng)視情況增加監(jiān)督頻次：

1) 獲證組織發(fā)生重大變更，例如組織架構(gòu)、關(guān)鍵辦公場所、服務(wù)管理過程等發(fā)生變更;

2) 針對獲證組織的投訴;

3) 獲證組織出現(xiàn)重大服務(wù)質(zhì)量事故或風(fēng)險隱患等。

必要情況下，中心可采取事先不通知的方式對獲證組織進行飛行檢查。

6.3.2 信息收集

獲證組織應(yīng)于監(jiān)督審核前3個月，提交安全服務(wù)管理與安全服務(wù)能力的相關(guān)信息，以確定獲證組織的安全服務(wù)管理與安全服務(wù)能力相關(guān)信息是否發(fā)生變化。提供的信息包括以下幾個方面：

1) 信息確認(rèn)文件，包括但不限于：

a) 基本信息，包括組織名稱、地址、聯(lián)系人、法人等信息的變化情況;

b) 組織信息，包括范圍、組織架構(gòu)、人員數(shù)量等信息的變化情況;

c) 服務(wù)管理體系相關(guān)信息，關(guān)鍵文件化信息的變化情況。

2) 自評估信息，包括但不限于：

a) 安全服務(wù)管理運行情況，包括運行說明和運行證據(jù);

b) 安全服務(wù)管理監(jiān)視、測量、分析和評價的結(jié)果和證據(jù);

c) 安全服務(wù)管理運行的持續(xù)改進情況，包括改進說明和證據(jù);

d) 滿足法律法規(guī)的情況說明;

e) 對安全服務(wù)管理符合性的自我評價。

6.3.3 方案維護

中心結(jié)合獲證組織的實際情況，對審核方案進行維護調(diào)整，包括：監(jiān)督審核的頻次和覆蓋范圍、監(jiān)督審核方式、審核人日等，并確定相關(guān)活動的安排。應(yīng)重點關(guān)注獲證組織的多方向的服務(wù)實施現(xiàn)場，并結(jié)合實際情況，確保在一個認(rèn)證周期內(nèi)應(yīng)覆蓋全部的服務(wù)方向。

6.3.4 監(jiān)督審核實施

認(rèn)證周期內(nèi)的監(jiān)督審核應(yīng)覆蓋認(rèn)證依據(jù)所有條款，監(jiān)督審核采取抽樣的方式進行，抽樣準(zhǔn)則為：

1) 一個認(rèn)證周期內(nèi)的監(jiān)督審核必須覆蓋標(biāo)準(zhǔn)所有條款和所有部門;

2) 標(biāo)準(zhǔn)中對服務(wù)管理過程有決定作用的條款和部門每次監(jiān)督審核都需要抽到;

3) 獲證組織前一次審核問題較多的條款在本次監(jiān)督審核中需要抽到;

4) 審核組認(rèn)為重要的條款應(yīng)考慮進行抽樣。

每次監(jiān)督審核的內(nèi)容應(yīng)包括以下方面：

1) 對上次審核中確定的不符合及觀察項采取的措施;

2) 投訴的處理;

3) 安全服務(wù)管理與安全服務(wù)能力在實現(xiàn)獲證客戶目標(biāo)的有效性;

4) 任何變更。

6.3.5 獲證后監(jiān)督結(jié)果的評價

監(jiān)督審核完成后，中心對審核結(jié)果及相關(guān)資料進行綜合評價。評價通過的，認(rèn)證證書持續(xù)有效，評價不通過的，按照本規(guī)則第7章的暫停、注銷及撤銷的相關(guān)規(guī)定處理。

7 認(rèn)證證書

7.1 證書內(nèi)容

認(rèn)證證書內(nèi)容至少包括以下方面：

1) 認(rèn)證證書名稱，例如：信息安全服務(wù)資質(zhì)認(rèn)證證書;

2) 證書編號;

3) 獲證組織名稱、注冊地址、辦公地址;

4) 符合本規(guī)則第2章的認(rèn)證依據(jù);

5) 通過認(rèn)證的服務(wù)類別;

6) 首次頒證日期、換證日期以及證書有效期的起止年月日;

7) 中心的名稱及其標(biāo)志;

8) 中心的印章和法定代表人代表或其授權(quán)人的簽字;

9) 認(rèn)可標(biāo)識及認(rèn)可注冊號(應(yīng)為國家認(rèn)監(jiān)委確定的認(rèn)可機構(gòu)的標(biāo)識，以申請認(rèn)可為目的發(fā)出的證書可沒有此內(nèi)容)。

7.2 認(rèn)證證書管理

7.2.1 認(rèn)證證書的保持

本規(guī)則覆蓋服務(wù)的認(rèn)證證書有效期為 3 年。證書有效性通過獲證后監(jiān)督維持。

獲證組織應(yīng)在證書有效期屆滿前至少 3 個月提交換證申請。認(rèn)證證書有效期內(nèi)且最后一次監(jiān)督審核結(jié)果合格的，換發(fā)新證書;獲證組織在證書有效期屆滿時未提出換證申請的，其證書到期后失效。

7.2.2 認(rèn)證證書的變更

獲證組織證書內(nèi)容變更時，應(yīng)向中心提出變更申請，并按照要求提交相關(guān)材料。

1) 如果認(rèn)證變更只涉及到獲證組織名稱、注冊地址的變更，獲證組織須遞交變更申請及工商變更證明材料等，經(jīng)認(rèn)證決定后，中心換發(fā)新證書并收回原證書;

2) 如果獲證組織受審核地址變更時，可與監(jiān)督審核合并進行，審核通過后換發(fā)新證書并收回原證書。

7.2.3 認(rèn)證證書的暫停

獲證組織有下列情形之一，認(rèn)證機構(gòu)應(yīng)暫停其認(rèn)證證書：

1) 獲證組織的服務(wù)管理持續(xù)地或嚴(yán)重地不滿足認(rèn)證要求;

2) 逾期未按規(guī)定進行監(jiān)督審核;

3) 違規(guī)使用認(rèn)證證書，且未造成不良影響;

4) 監(jiān)督審核有嚴(yán)重不符合項;

5) 獲證組織主動請求暫停;

6) 其他需要暫停證書的情況。

在暫停認(rèn)證期間，獲證組織的服務(wù)認(rèn)證證書暫時無效，中心應(yīng)使認(rèn)證證書的暫停信息可公開獲取。

證書暫停時間一般為3個月，最長不超過6個月。在證書暫停期間，組織可提出恢復(fù)證書的申請，并經(jīng)認(rèn)證機構(gòu)審核、批準(zhǔn)后方可使用證書。

7.2.4 認(rèn)證證書的注銷

獲證組織因自身原因申請注銷認(rèn)證證書，中心予以注銷。認(rèn)證證書注銷后，中心予以公示。

7.2.5 認(rèn)證證書的撤銷

獲證組織有下列情形之一，應(yīng)撤銷其認(rèn)證證書：

1) 逾期6個月未按規(guī)定進行監(jiān)督審核的;

2) 證書暫停期間，未在規(guī)定時間內(nèi)完成整改并通過驗證;

3) 違規(guī)使用認(rèn)證證書，造成不良影響;

4) 獲證組織出現(xiàn)嚴(yán)重責(zé)任事故、被投訴且經(jīng)核實，影響其繼續(xù)有效提供服務(wù);

5) 其他需要撤銷證書的情況。

認(rèn)證證書撤銷后，中心予以公示。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202201/ccaa_33253.html