CCRC資質(zhì)認(rèn)證實(shí)施規(guī)則最新版

根據(jù)信息安全服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)現(xiàn)狀及發(fā)展需要，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心對(duì)服務(wù)資質(zhì)認(rèn)證規(guī)范及實(shí)施規(guī)則進(jìn)行了修訂，新版CCRC-ISV-R01:2021《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》從2023年10月15日發(fā)布之日起正式實(shí)施。具體如下：

1 適用范圍

本規(guī)則用于規(guī)范中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(簡(jiǎn)稱中心)開展信息安全服務(wù)認(rèn)證活動(dòng)。

2 認(rèn)證依據(jù)

CCRC-ISV-C01《信息安全服務(wù)規(guī)范》

3 認(rèn)證模式

初次認(rèn)證+獲證后監(jiān)督

4 認(rèn)證級(jí)別

信息安全服務(wù)認(rèn)證級(jí)別分為一級(jí)、二級(jí)、三級(jí)，其中一級(jí)為最高級(jí)別。

5 認(rèn)證基本環(huán)節(jié)

1) 認(rèn)證申請(qǐng)及受理

2) 文件審核

3) 現(xiàn)場(chǎng)審核

4) 結(jié)果評(píng)價(jià)與決定

5) 獲證后監(jiān)督

6 認(rèn)證程序

6.1 認(rèn)證申請(qǐng)及受理

6.1.1 認(rèn)證申請(qǐng)

初次認(rèn)證(含增項(xiàng)、升降級(jí)等)申請(qǐng)，申請(qǐng)組織至少提供以下必要的信息：

1) 認(rèn)證申請(qǐng)書，包括但不限于以下內(nèi)容：

a) 申請(qǐng)組織基本信息，包括業(yè)務(wù)活動(dòng)、組織架構(gòu)、聯(lián)系人信息、物理位置、服務(wù)和申請(qǐng)級(jí)別等基本內(nèi)容;

b) 法律地位資格證明(營業(yè)執(zhí)照、事業(yè)單位法人證書或社會(huì)團(tuán)體法人登記證書，組織代碼證和稅務(wù)登記證(如果有));獨(dú)立法人實(shí)體的一部分，經(jīng)法人批準(zhǔn)成立，法人實(shí)體能為申請(qǐng)人開展的活動(dòng)承擔(dān)相關(guān)的法律責(zé)任;

c) 業(yè)務(wù)運(yùn)行時(shí)間的證明材料;

d) 取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時(shí))。

2) 自評(píng)估表，包括但不限于：

a) 組織根據(jù)認(rèn)證依據(jù)所進(jìn)行的符合性評(píng)價(jià);

b) 評(píng)價(jià)結(jié)論所需要的證據(jù)材料。

6.1.2 申請(qǐng)?jiān)u審

中心根據(jù)認(rèn)證依據(jù)、程序等要求，對(duì)申請(qǐng)組織提交的認(rèn)證申請(qǐng)書、自評(píng)估信息及其相關(guān)資料進(jìn)行評(píng)審并保存評(píng)審記錄，做出評(píng)審結(jié)論，以確定：

1) 所需要的基本信息及自評(píng)估信息都得到提供;

2) 申請(qǐng)組織的行業(yè)類別和與之相對(duì)應(yīng)服務(wù)的過程特性和管理要求;

3) 對(duì)應(yīng)行業(yè)的管理要求;

4) 中心與申請(qǐng)組織之間任何已知的理解差異得到消除;

5) 中心有能力并能夠?qū)嵤┧暾?qǐng)的認(rèn)證活動(dòng);

6) 申請(qǐng)的認(rèn)證范圍、申請(qǐng)組織的運(yùn)作場(chǎng)所、完成審核需要的時(shí)間和任何其他影響認(rèn)證活動(dòng)的因素。

6.1.3 方案建立

在申請(qǐng)?jiān)u審?fù)ㄟ^后，中心針對(duì)申請(qǐng)組織建立審核方案。審核方案應(yīng)明確所涉及的文件審核、現(xiàn)場(chǎng)審核等各階段的活動(dòng)安排，并根據(jù)中心的人日計(jì)算標(biāo)準(zhǔn)確定審核人日。

6.2 初次認(rèn)證

6.2.1 文件審核

文件審核應(yīng)根據(jù)申請(qǐng)組織提交的申請(qǐng)材料及自評(píng)估表進(jìn)行評(píng)審，確保滿足認(rèn)證依據(jù)的要求。

文件審核應(yīng)確認(rèn)申請(qǐng)組織是否針對(duì)所涉及的所有認(rèn)證規(guī)范條款進(jìn)行了自我評(píng)價(jià)并提供了充足的證據(jù)證明其滿足認(rèn)證規(guī)范的要求，內(nèi)容包括但不限于：

1) 提供的基本信息，包括法律地位、財(cái)務(wù)、辦公場(chǎng)所、人員能力、業(yè)績(jī)等;

2) 服務(wù)管理制度文件的發(fā)布時(shí)間，確認(rèn)是否滿足運(yùn)行時(shí)間;

3) 服務(wù)管理制度文件的內(nèi)容是否滿足認(rèn)證規(guī)范的要求;

4) 服務(wù)管理制度文件的覆蓋范圍是否與申請(qǐng)的范圍保持一致;

5) 提供的制度文件執(zhí)行證據(jù)是否充分;

6) 提供的證據(jù)是否能夠證明其技術(shù)能力。

6.2.2 現(xiàn)場(chǎng)審核

現(xiàn)場(chǎng)審核包含申請(qǐng)組織辦公現(xiàn)場(chǎng)及其服務(wù)實(shí)施現(xiàn)場(chǎng)。一級(jí)和二級(jí)項(xiàng)目在文件審核通過后，實(shí)施現(xiàn)場(chǎng)審核。三級(jí)項(xiàng)目根據(jù)文件審核結(jié)論經(jīng)中心復(fù)核后，必要時(shí)實(shí)施現(xiàn)場(chǎng)審核。

現(xiàn)場(chǎng)審核應(yīng)根據(jù)文件審核的結(jié)果，對(duì)文件審核中查閱的證據(jù)材料進(jìn)行現(xiàn)場(chǎng)驗(yàn)證，必要時(shí)重新抽樣，現(xiàn)場(chǎng)審核內(nèi)容包括但不限于：

1) 對(duì)客戶的法律地位、財(cái)務(wù)資信、辦公場(chǎng)所、人員能力等多個(gè)方面進(jìn)行現(xiàn)場(chǎng)驗(yàn)證;

2) 對(duì)客戶的服務(wù)管理執(zhí)行情況進(jìn)行現(xiàn)場(chǎng)驗(yàn)證;

3) 對(duì)客戶的服務(wù)技術(shù)能力進(jìn)行跟蹤驗(yàn)證，包括已結(jié)束項(xiàng)目的和正在執(zhí)行項(xiàng)目。驗(yàn)證方式包括但不限于：文件和記錄查閱、人員訪談、現(xiàn)場(chǎng)核查等。

6.2.3 結(jié)果評(píng)價(jià)與決定

審核完成后，中心對(duì)審核結(jié)果及相關(guān)資料進(jìn)行綜合評(píng)價(jià)，做出認(rèn)證決定，符合認(rèn)證要求的頒發(fā)認(rèn)證證書，不符合認(rèn)證要求的認(rèn)證終止。

6.3 獲證后監(jiān)督

6.3.1 頻次和方式

自獲證后12-18個(gè)月內(nèi)至少進(jìn)行1次監(jiān)督審核。監(jiān)督審核對(duì)象為獲證組織。當(dāng)獲證組織持有多張證書時(shí)，應(yīng)以最早的獲證日期發(fā)起監(jiān)督審核，其他證書合并審核。獲證后監(jiān)督活動(dòng)可采取以下方式進(jìn)行：

1) 文件審核;

2) 現(xiàn)場(chǎng)審核;

3) 其他監(jiān)督獲證組織的方法。

若獲證組織在證書有效期內(nèi)出現(xiàn)以下情況之一，中心應(yīng)視情況增加監(jiān)督頻次：

1) 獲證組織發(fā)生重大變更，例如組織架構(gòu)、關(guān)鍵辦公場(chǎng)所、服務(wù)管理過程等發(fā)生變更;

2) 針對(duì)獲證組織的投訴;

3) 獲證組織出現(xiàn)重大服務(wù)質(zhì)量事故或風(fēng)險(xiǎn)隱患等。

必要情況下，中心可采取事先不通知的方式對(duì)獲證組織進(jìn)行飛行檢查。

6.3.2 信息收集

獲證組織應(yīng)于監(jiān)督審核前3個(gè)月，提交安全服務(wù)管理與安全服務(wù)能力的相關(guān)信息，以確定獲證組織的安全服務(wù)管理與安全服務(wù)能力相關(guān)信息是否發(fā)生變化。提供的信息包括以下幾個(gè)方面：

1) 信息確認(rèn)文件，包括但不限于：

a) 基本信息，包括組織名稱、地址、聯(lián)系人、法人等信息的變化情況;

b) 組織信息，包括范圍、組織架構(gòu)、人員數(shù)量等信息的變化情況;

c) 服務(wù)管理體系相關(guān)信息，關(guān)鍵文件化信息的變化情況。

2) 自評(píng)估信息，包括但不限于：

a) 安全服務(wù)管理運(yùn)行情況，包括運(yùn)行說明和運(yùn)行證據(jù);

b) 安全服務(wù)管理監(jiān)視、測(cè)量、分析和評(píng)價(jià)的結(jié)果和證據(jù);

c) 安全服務(wù)管理運(yùn)行的持續(xù)改進(jìn)情況，包括改進(jìn)說明和證據(jù);

d) 滿足法律法規(guī)的情況說明;

e) 對(duì)安全服務(wù)管理符合性的自我評(píng)價(jià)。

6.3.3 方案維護(hù)

中心結(jié)合獲證組織的實(shí)際情況，對(duì)審核方案進(jìn)行維護(hù)調(diào)整，包括：監(jiān)督審核的頻次和覆蓋范圍、監(jiān)督審核方式、審核人日等，并確定相關(guān)活動(dòng)的安排。應(yīng)重點(diǎn)關(guān)注獲證組織的多方向的服務(wù)實(shí)施現(xiàn)場(chǎng)，并結(jié)合實(shí)際情況，確保在一個(gè)認(rèn)證周期內(nèi)應(yīng)覆蓋全部的服務(wù)方向。

6.3.4 監(jiān)督審核實(shí)施

認(rèn)證周期內(nèi)的監(jiān)督審核應(yīng)覆蓋認(rèn)證依據(jù)所有條款，監(jiān)督審核采取抽樣的方式進(jìn)行，抽樣準(zhǔn)則為：

1) 一個(gè)認(rèn)證周期內(nèi)的監(jiān)督審核必須覆蓋標(biāo)準(zhǔn)所有條款和所有部門;

2) 標(biāo)準(zhǔn)中對(duì)服務(wù)管理過程有決定作用的條款和部門每次監(jiān)督審核都需要抽到;

3) 獲證組織前一次審核問題較多的條款在本次監(jiān)督審核中需要抽到;

4) 審核組認(rèn)為重要的條款應(yīng)考慮進(jìn)行抽樣。

每次監(jiān)督審核的內(nèi)容應(yīng)包括以下方面：

1) 對(duì)上次審核中確定的不符合及觀察項(xiàng)采取的措施;

2) 投訴的處理;

3) 安全服務(wù)管理與安全服務(wù)能力在實(shí)現(xiàn)獲證客戶目標(biāo)的有效性;

4) 任何變更。

6.3.5 獲證后監(jiān)督結(jié)果的評(píng)價(jià)

監(jiān)督審核完成后，中心對(duì)審核結(jié)果及相關(guān)資料進(jìn)行綜合評(píng)價(jià)。評(píng)價(jià)通過的，認(rèn)證證書持續(xù)有效，評(píng)價(jià)不通過的，按照本規(guī)則第7章的暫停、注銷及撤銷的相關(guān)規(guī)定處理。

7 認(rèn)證證書

7.1 證書內(nèi)容

認(rèn)證證書內(nèi)容至少包括以下方面：

1) 認(rèn)證證書名稱，例如：信息安全服務(wù)資質(zhì)認(rèn)證證書;

2) 證書編號(hào);

3) 獲證組織名稱、注冊(cè)地址、辦公地址;

4) 符合本規(guī)則第2章的認(rèn)證依據(jù);

5) 通過認(rèn)證的服務(wù)類別;

6) 首次頒證日期、換證日期以及證書有效期的起止年月日;

7) 中心的名稱及其標(biāo)志;

8) 中心的印章和法定代表人代表或其授權(quán)人的簽字;

9) 認(rèn)可標(biāo)識(shí)及認(rèn)可注冊(cè)號(hào)(應(yīng)為國家認(rèn)監(jiān)委確定的認(rèn)可機(jī)構(gòu)的標(biāo)識(shí)，以申請(qǐng)認(rèn)可為目的發(fā)出的證書可沒有此內(nèi)容)。

7.2 認(rèn)證證書管理

7.2.1 認(rèn)證證書的保持

本規(guī)則覆蓋服務(wù)的認(rèn)證證書有效期為 3 年。證書有效性通過獲證后監(jiān)督維持。

獲證組織應(yīng)在證書有效期屆滿前至少 3 個(gè)月提交換證申請(qǐng)。認(rèn)證證書有效期內(nèi)且最后一次監(jiān)督審核結(jié)果合格的，換發(fā)新證書;獲證組織在證書有效期屆滿時(shí)未提出換證申請(qǐng)的，其證書到期后失效。

7.2.2 認(rèn)證證書的變更

獲證組織證書內(nèi)容變更時(shí)，應(yīng)向中心提出變更申請(qǐng)，并按照要求提交相關(guān)材料。

1) 如果認(rèn)證變更只涉及到獲證組織名稱、注冊(cè)地址的變更，獲證組織須遞交變更申請(qǐng)及工商變更證明材料等，經(jīng)認(rèn)證決定后，中心換發(fā)新證書并收回原證書;

2) 如果獲證組織受審核地址變更時(shí)，可與監(jiān)督審核合并進(jìn)行，審核通過后換發(fā)新證書并收回原證書。

7.2.3 認(rèn)證證書的暫停

獲證組織有下列情形之一，認(rèn)證機(jī)構(gòu)應(yīng)暫停其認(rèn)證證書：

1) 獲證組織的服務(wù)管理持續(xù)地或嚴(yán)重地不滿足認(rèn)證要求;

2) 逾期未按規(guī)定進(jìn)行監(jiān)督審核;

3) 違規(guī)使用認(rèn)證證書，且未造成不良影響;

4) 監(jiān)督審核有嚴(yán)重不符合項(xiàng);

5) 獲證組織主動(dòng)請(qǐng)求暫停;

6) 其他需要暫停證書的情況。

在暫停認(rèn)證期間，獲證組織的服務(wù)認(rèn)證證書暫時(shí)無效，中心應(yīng)使認(rèn)證證書的暫停信息可公開獲取。

證書暫停時(shí)間一般為3個(gè)月，最長(zhǎng)不超過6個(gè)月。在證書暫停期間，組織可提出恢復(fù)證書的申請(qǐng)，并經(jīng)認(rèn)證機(jī)構(gòu)審核、批準(zhǔn)后方可使用證書。

7.2.4 認(rèn)證證書的注銷

獲證組織因自身原因申請(qǐng)注銷認(rèn)證證書，中心予以注銷。認(rèn)證證書注銷后，中心予以公示。

7.2.5 認(rèn)證證書的撤銷

獲證組織有下列情形之一，應(yīng)撤銷其認(rèn)證證書：

1) 逾期6個(gè)月未按規(guī)定進(jìn)行監(jiān)督審核的;

2) 證書暫停期間，未在規(guī)定時(shí)間內(nèi)完成整改并通過驗(yàn)證;

3) 違規(guī)使用認(rèn)證證書，造成不良影響;

4) 獲證組織出現(xiàn)嚴(yán)重責(zé)任事故、被投訴且經(jīng)核實(shí)，影響其繼續(xù)有效提供服務(wù);

5) 其他需要撤銷證書的情況。

認(rèn)證證書撤銷后，中心予以公示。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202201/ccaa_33253.html