目 錄

  1. 適用范圍

  2. 認證依據(jù)

  3. 術語和定義

  3.1. 信息收集

  3.2. 現(xiàn)場審核

  4. 認證類別

  5. 審核人員及審核組要求

  6. 認證信息公開

  7. 認證程序

  7.1. 初次認證

  7.2. 監(jiān)督審核

  7.3. 再認證

  7.4. 管理體系結合審核

  7.5. 特殊審核

  7.6. 暫停、撤消認證或縮小認證范圍

  8. 認證證書

  8.1. 證書內(nèi)容

  8.2. 證書編號

  8.3. 對獲證組織正確宣傳認證結果的控制

  9. 對獲證組織的信息通報要求及響應

  10. 附錄 A：審核時間

  1. 適用范圍

  本規(guī)則用于規(guī)范山西領拓認證有限公司(簡稱LTC)開展信息安全管理體系(ISMS)認證活動。

  2. 認證依據(jù)

  ISO/IEC27001:2022《信息安全、網(wǎng)絡安全和隱私保護 信息安全管理體系 要求》

  3. 術語 和定義

  3.1 現(xiàn)場審核

  LTC指派審核組到受審核方或獲證組織所在辦公地點進行管理體系運行的符合性進行審核。

  4. 認證類別

  認證類型分為初次認證，監(jiān)督審核和再認證。為滿足認證的需要，LTC可以實施特殊審核，特殊審核采取現(xiàn)場審核方式進行。

  5. 審核人員及審核組要求

  認證審核人員必須取得其他管理體系認證注冊資格，并得到LTC的專業(yè)能力評價，以確定其能夠勝任所安排的審核任務。

  審核組應由能夠勝任所安排的審核任務的審核員組成。必要時可以補充技術專家以增強審核組的技術能力。

  具有與管理體系相關的管理和法規(guī)等方面特定知識的技術專家可以成為審核組成員。技術專家應在審核員的監(jiān)督下進行工作，可就受審核方或獲證組織管理體系中技術充分性事宜為審核員提供建議，但技術專家不能作為審核員。

  6. 認證信息公開

  LTC應向申請認證的社會組織(以下稱申請組織)至少公開以下信息：

  1) 認證服務項目;

  2) 認證工作程序;

  3) 認證依據(jù);

  4) 證書有效期;

  5) 認證收費標準。

  7. 認證程序

  7.1. 初次認證

  7.1.1. 認證申請

  LTC應要求申請組織的授權代表至少提供以下必要的信息：

  1) 認證申請書，包括但不限于以下內(nèi)容：

  a. 企業(yè)基本信息，包括業(yè)務活動、組織架構、聯(lián)系人信息、物理位置和體系范圍

  等基本內(nèi)容;

  b. 法律地位資格證明(工商營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書，組織代碼證和稅務登記證(如果有));

  c. 體系運行的時間;

  d. 取得相關法規(guī)規(guī)定的行政許可文件(適用時)。

  2) 信息收集表，包括但不限于：

  a. 組織的資源管理

  b. 組織的過程管理

  c. 組織的風險管理

  7.1.2. 申請評審

  LTC應根據(jù)認證依據(jù)、程序等要求，在三個工作日內(nèi)對申請組織提交的認證申請書及其相關資料進行評審并保存評審記錄，做出評審結論，以確定：

  1) 所需要的基本信息都得到提供;

  2) 申請組織的行業(yè)類別和與之相對應的管理體系所管理的過程特性和管理要求;

  3) 國家對相應行業(yè)的管理要求;

  4) LTC與申請組織之間任何已知的理解差異得到消除;

  5) LTC有能力并能夠實施認證活動;

  6) 申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素;

  7) LTC應建立關于審核人日的確定準則，根據(jù)受審核方的規(guī)模、特性、業(yè)務復雜程度、

  管理體系涵蓋的范圍、認證要求和其承擔的風險等因素核算并確定審核人日，以確保審核的充分性和有效性。將確定后的人日數(shù)記錄在審核方案中，審核人日的確定規(guī)則參考附錄

A。

  7.1.3. 建立審核方案

  在申請評審后，LTC應針對申請組織建立審核方案(申請組織變更為受審核方)，并由專職人員負責管理審核方案。審核方案范圍與程度的確定應基于受審核組織的規(guī)模和性質，以及受審核管理體系的性質、功能、復雜程度以及成熟度水平。

  審核方案應包括在規(guī)定的期限內(nèi)有效和高效地組織和實施審核所需的信息和資源，應包括以下內(nèi)容：

  1) 審核方案的目標;

  2) 審核的范圍與程度、數(shù)量、類型、持續(xù)時間、地點、日程安排;

  3) 審核準則;

  4) 審核方法;

  5) 審核組的選擇;

  6) 所需的資源，包括交通和食宿;

  7) 處理保密性、信息安全、健康和安全，以及其它類似事宜。

  7.1.4. 確定審核組

  LTC應根據(jù)受審核方的行業(yè)、規(guī)模和業(yè)務復雜程度組建審核組，指派審核組長。

  7.1.5. 一階段審核

  審核組應對受審核方開展一階段審核，以確定：

  1) 受審核方的管理體系得到策劃和實施;

  2) 受審核方的管理體系已運行，并有足夠的證據(jù)證明其運行情況;

  3) 受審核方對運行的管理體系進行了監(jiān)視、測量、分析和評價，并有充分的證據(jù);

  4) 受審核方對管理體系進行了有效的持續(xù)改進;

  5) 受審核方是否識別并遵守了相關的法律法規(guī);

  6) 受審核方有充足的資源保障現(xiàn)場審核的進行;

  7) 收集關于客戶的管理體系范圍、過程和場所的必要信息，包括：

  a) 客戶的場所

  b) 使用的過程和設備

  c) 所建立的控制的水平(特別是客戶為多場所時)

  為了確保獲得上述信息，一階段的部分審核需到客戶現(xiàn)場進行。

  7.1.6. 現(xiàn)場審核計劃

  審核組應結合受審核方的申請材料、審核方案對現(xiàn)場審核的策劃以及一階段審核的結果對現(xiàn)場審核做出具體安排，包括但不限于具體的時間安排、審核組成員對受審核方按崗位和活動以何種方式進行評價的安排、高層溝通的安排和會議的安排。審核組長應至少在實施現(xiàn)場審核 3 個工作日之前，與受審核方就審核計劃進行充分溝通， 確保雙方在理解上沒有歧義。

  7.1.7. 現(xiàn)場審核

  審核組按照審核計劃的安排對受審核方進行現(xiàn)場審核，現(xiàn)場審核應考慮一階段審核結果，對受審核方的管理過程和控制措施的運行情況進行評價，對一階段審核提出的問題改進情況進行驗證。

  現(xiàn)場審核的內(nèi)容包括但不限于：

  a. 組織環(huán)境(應對風險和機會的措施，管理目標和達標計劃);

  b. 領導(管理承諾，方針，組織的角色、責任和權限);

  c. 策劃(應對風險和機會的措施，管理目標和實現(xiàn)計劃);

  d. 支持(資源，能力，意識，溝通，文件化信息);

  e. 運行(運行的策劃和控制，風險評估，風險處置);

  f. 績效評估(監(jiān)視、測量、分析和評價，內(nèi)部審核，管理評審);

  g. 改進(不符合和糾正措施，持續(xù)改進)。

  7.1.8. 初次認證的審核結論

  審核組應該對一階段審核和現(xiàn)場審核中收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結論達成一致。

  如果現(xiàn)場審核發(fā)現(xiàn)不符合項和觀察項應開具不符合項報告，且獲得受審核方認同。

  現(xiàn)場審核結束，審核組應形成是否推薦認證注冊的結論;審核組可以根據(jù)一階段審核結果和現(xiàn)場審核的結果對受審核方的管理體系是否滿足所有適用的認證依據(jù)的要求進行評價，并判斷是否推薦認證注冊。

  現(xiàn)場審核結束后，3 個工作日內(nèi)，審核組長完成審核報告編制工作，并與受審核方進行溝通，確保雙方對報告的理解上沒有歧義。

  7.1.9. 認證決定

  LTC應指派認證決定人員，對受審核方的認證申請實施認證決定，以決定：

  a. 同意認證注冊，頒發(fā)認證證書;

  b. 補充認證決定所需的信息，包括但不限于申請材料、審核材料，再行決定;

  c. 不同意認證注冊。

  認證決定人員實施認證決定時應以認證過程中收集的信息和其他相關信息為基礎，以充分的證據(jù)證實受審核方建立管理體系得到了建立、實施、運行、監(jiān)視、評審、保持和改進。

  注 1：參加審核的人員不能再作為認證決定人員實施認證決定。

  注 2：受審核方獲得認證注冊資格后變更為獲證組織。

  7.1.10. 審核方案記錄與變更

  審核方案管理人員應收集一階段審核、現(xiàn)場審核和認證決定的信息，特別是形成的結論和變化的信息，記錄到審核方案中。

并確定審核方案是否需要進行變更，如需要則更新相應項目內(nèi)容。

  7.2. 監(jiān)督審核

  7.2.1. 監(jiān)督頻次

  LTC應在滿足認可要求的基礎上，根據(jù)獲證組織管理體系覆蓋的業(yè)務活動的特點以及所承擔的風險，合理設計和確定監(jiān)督審核的時間間隔和頻次。當獲證組織管理體系發(fā)生重大變更，或發(fā)生重大問題、業(yè)務中斷事故、客戶投訴等情況時，LTC可視情況增加監(jiān)督的頻次。

  監(jiān)督審核在初審認證決定后12個月內(nèi)，兩次監(jiān)督審核間隔15個月。由于獲證組織業(yè)務運作的時間(季節(jié))特點及其內(nèi)部審核安排等原因，可以合理選取和安排監(jiān)督周期及時機，在認證證書有效期內(nèi)的兩次監(jiān)督審核涉及的條款之和必須覆蓋管理體系認證范圍內(nèi)的所有條款。

  7.2.2. 信息收集

  在進行監(jiān)督審核之前，LTC需要收集獲證組織的管理體系相關信息，以確定獲證組織的管理體系相關信息是否發(fā)生變化。需要客戶提供的信息包括以下幾個方面：

  1) 信息確認文件，包括但不限于：

  a. 基本信息，包括組織名稱、地址、聯(lián)系人、法人等信息的變化情況;

  b. 組織信息，包括范圍、組織架構、人員數(shù)量等信息的變化情況;

  c. 管理體系相關信息，關鍵文件化信息的變化情況。

  7.2.3. 確定審核組

  LTC應根據(jù)獲證組織的行業(yè)、規(guī)模和業(yè)務復雜程度組建審核組，指派審核組長。

  7.2.4. 信息評審

  審核組應對獲證組織的信息確認文件進行評審，以確定：

  1) 獲證組織的管理體系變化情況，尤其是管理體系范圍的變化;

  2) 是否需要修訂審核方案。

  7.2.5. 制定現(xiàn)場審核計劃

  審核組應結合獲證組織的信息確認文件、審核方案對監(jiān)督審核中現(xiàn)場審核的策劃和一階段審核的結果對現(xiàn)場審核做出具體安排，包括但不限于具體的時間安排、審核組成員對獲證組織按崗位和活動以何種方式進行評價的安排、高層溝通的安排和會議的安排。審核組長應至少在實施現(xiàn)場審核

3 個工作日之前，與獲證組織就審核計劃進行充分溝通，確保雙方在理解上沒有歧義。

  ISMS 的監(jiān)督審核并不覆蓋標準所有條款，監(jiān)督審核的抽樣采取部門抽樣的方式進行，抽樣準則為：

  1) 兩次監(jiān)督審核必須覆蓋標準所有條款和所有部門;

  2) 標準中對信息安全管理過程有決定作用的條款和部門每次監(jiān)督審核都需要抽到;

  3) 獲證組織前一次審核問題較多的部門在本次監(jiān)督審核中需要抽到;

  4) 審核組認為重要的條款應考慮進行抽樣。

  每次監(jiān)督審核的內(nèi)容應包括以下方面：

  1) 內(nèi)部審核和管理評審;

  2) 對上次審核中確定的不符合項采取的措施;

  3) 投訴的處理;

  4) 管理體系在實現(xiàn)獲證客戶目標和各管理體系的預期結果方面的有效性;

  5) 為持續(xù)改進而策劃的活動的進展;

  6) 持續(xù)的運作控制;

  7) 任何變更;

  8) 標志的使用和(或)任何其他對認證資格的引用

  7.2.6. 現(xiàn)場審核

  審核組按照審核計劃的安排對獲證組織進行現(xiàn)場審核，由于監(jiān)督審核并不要求覆蓋體系的所有方面，因此在監(jiān)督審核的策劃過程中，如果獲證組織的認證范圍信息有變化，應對變化的方面進行關注，必要時重新確認審核范圍。

  7.2.7. 監(jiān)督審核結論

  審核組應該對現(xiàn)場審核中收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結論達成一致。

  如果現(xiàn)場審核發(fā)現(xiàn)不符合項和觀察項應開具不符合項報告，且獲得獲證組織認同。

  現(xiàn)場審核結束，審核組應形成是否推薦保持認證注冊的結論;審核組可以根據(jù)一階段審核結果和現(xiàn)場審核的結果對獲證組織的管理體系是否滿足所有適用的認證依據(jù)的要求進行評價，并判斷是否推薦保持認證注冊。

  現(xiàn)場審核結束后，3 個工作日內(nèi)，審核組長完成審核報告編制工作，并與獲證組織進行溝通，確保雙方對報告的理解沒有歧義。

  7.2.8. 認證決定

  LTC應指派認證決定人員，對獲證組織的認證申請實施認證決定，以決定：

  a. 同意保持認證注冊，頒發(fā)認證標志;

  b. 補充認證決定所需的信息，包括但不限于申請材料、審核材料，再行決定;

  c. 不同意保持認證注冊，做出暫定或撤銷的決定。

  認證決定人員實施認證決定時應以認證過程中收集的信息和其他相關信息為基礎，以充分的證據(jù)證實獲證組織建立管理體系得到了建立、實施、運行、監(jiān)視、評審、保持和改進。

  7.2.9. 審核方案記錄與變更

  審核方案管理人員應收集一階段審核、現(xiàn)場審核和認證決定的信息，特別是形成的結論和變化的信息，同時記錄到審核方案中。

并確定審核方案是否需要進行變更，如需要則更新相應項目內(nèi)容。

  7.3. 再認證

  認證證書有效期滿前，LTC根據(jù)獲證組織的申請對獲證組織實施再認證，以保證管理體系認證證書持續(xù)有效。

  再認證審核的形式和過程與初次認證保持一致，但再認證的一階段審核可以與二階段審核一起進行，但當獲證組織或其管理體系的運作環(huán)境(如法律的變更)有重大變更時，再認證審核活動可能需要有單獨的第一階段審核。

  再認證審核將包括針對下列方面的現(xiàn)場審核

  1) 結合內(nèi)部和外部變更來看的整個管理體系的有效性，以及認證范圍的持續(xù)相關性和適宜性;

  2) 經(jīng)證實的對保持管理體系有效性并改進管理體系，以提高整體績效的承諾;

  3) 管理體系在實現(xiàn)獲證客戶的目標和管理體系預期結果方面的有效性。

  7.4. 管理體系結合審核

  當申請組織在運行信息安全管理體系的同時還運行了其他管理體系，若其他管理體系在LTC的認證業(yè)務范圍內(nèi)，LTC可以根據(jù)申請組織的需求對管理體系進行單獨的審核，或者對多個管理體系進行結合審核，但LTC需確保在結合審核的情形下，對諸如審核范圍的界定、審核時間的確定、審核方案的策劃等進行有效的管理。

  對于結合審核，必須以審核活動滿足體系認證所有要求為前提，并且審核的質量不應由于結合審核而受到負面影響。在審核報告中，應清晰體現(xiàn)所有與管理體系有關的重要要素的描述并易于識別。

  7.5. 特殊審核

  7.5.1. 變更或擴大認證范圍

  獲證組織申請變更或擴大認證范圍時，LTC應按再認證的過程對獲證組織變更或擴大認證范圍進行特殊審核，最終形成是否同意變更或擴大認證注冊范圍的決定。變更或擴大認證范圍的審核活動可單獨進行，也可和對獲證組織的監(jiān)督審核或再認證同時進行。

  7.5.2. LTC在調查投訴、對變更做出回應或對被暫停認證資格的獲證組織進行追蹤

  時，應指派審核組提前較短時間通知獲證組織后對其進行特殊審核。特殊審核以現(xiàn)場審核方式進行，此時：

  1) 應向獲證組織說明并使其提前了解將在何種條件下進行此類審核;

  2) 由于獲證組織缺乏對審核組成員的任命表示反對的機會，LTC應在指派審核組時給予更多的關注;

  3) 審核組應制訂審核計劃，形成審核結論;

  4) LTC應根據(jù)審核結論作出認證決定。

  7.5.3. 審核方案記錄與變更

  審核方案管理人員應收集特殊審核的信息，特別是形成的結論和變化的信息，并記錄到審核方案中。同時確定審核方案是否需要進行變更，如需要則更新相應項目內(nèi)容。

  7.6. 暫停、撤消認證或縮小認證范圍

  7.6.1. LTC應有暫停、撤消認證或縮小管理體系認證范圍的政策和形成文件的程序，并規(guī)定LTC的后續(xù)措施。

  7.6.2. 發(fā)生以下情況(但不限于)時，LTC應暫停獲證組織的管理體系認證資格：

  1) 獲證組織的管理體系持續(xù)地或嚴重地不滿足認證要求，包括對管理體系有效性的要求;

  2) 獲證組織不允許按要求的頻次實施監(jiān)督或再認證審核;

  3) 獲證組織不接受或不配合認證認可監(jiān)督管理部門的監(jiān)督管理;

  4) 獲證組織主動請求暫停。

  7.6.3. 認證資格暫停期最長不超過 6 個月。

  7.6.4.在暫停認證期間，獲證組織的管理體系認證證書暫時無效。LTC應做出具有強制實施力的安排，避免暫停認證期間獲證組織繼續(xù)宣傳管理體系認證資格。中心應使認證證書的暫停信息可公開獲取。

  7.6.5. 如果獲證組織未能在LTC規(guī)定的時限內(nèi)解決造成暫停認證的問題，LTC應撤消其管理體系認證或縮小其相應的認證范圍。

  7.6.6.如果獲證組織在認證范圍的某些部分持續(xù)地或嚴重地不滿足認證要求，LTC應縮小其管理體系認證范圍，以排除不滿足要求的部分。認證范圍的縮小應與認證標準的要求一致。

  7.6.7.LTC應與獲證組織就撤消管理體系認證時的要求做出具有強制實施力的安排，以確保獲證組織接到撤消認證的通知時，立即停止使用任何引用管理體系認證資格的廣告材料。

  7.6.8. 在任何組織提出請求時，LTC應正確說明獲證組織的管理體系認證被暫停、撤消或縮小的情況。

  8. 認證證書

  8.1. 證書有效期

  信息安全管理體系認證證書有效期為三年

  8.2. 證書內(nèi)容

  8.2.1. 認證證書內(nèi)容應以中文書寫，至少包括以下方面：

  1) 認證證書名稱，例如：信息安全管理體系認證證書;

  2) 符合本規(guī)則 8.2 項規(guī)定的證書編號;

  3) 獲證組織名稱、注冊地址、獲證地址和郵政編碼;

  4) 符合本規(guī)則 2 項的認證依據(jù);

  5) 通過認證的業(yè)務類別;

  6) 頒證日期、換證日期以及證書有效期的起止年月日。如頒證日期：2023 年 5 月 1

  日，有效期：2023 年 5 月 1 日至 2026 年 4 月 30 日;

  7) LTC的名稱及其標志;

  8) LTC的印章和法定代表人代表或其授權人的簽字;

  9) 認可標識及認可注冊號(應為國家認監(jiān)委確定的認可機構的標識，以申請認可為目的發(fā)出的證書可沒有此內(nèi)容);

  8.2.2. 如果認證所覆蓋業(yè)務(或服務)的類別及其所涉及的過程和覆蓋的場所較多，需在證書附件上加以注明。

  8.3. 證書編號

  8.3.1. 對同一個受審核方實施的同一個管理體系認證，賦予一個認證證書編號。

  8.3.2. 證書編號規(guī)則由LTC進行明確規(guī)定。

  8.3.3. 同一個組織的認證范圍覆蓋多個場所并需要頒發(fā)子證書時，在子認證證書編號后加上“-”和序號，如-1(-2，-3，?)。

  8.3.4. 有效期內(nèi)換發(fā)證書，認證證書編號中的機構注冊號、年份號、順序號和認證的有效期保持不變，應注明換證日期。

  8.3.5. 撤銷證書后，原認證證書編號廢止，不再它用。

  8.3.6. 認證證書上的LTC名稱應與相應的LTC批準書上的名稱一致。

  8.4. 對獲證組織正確宣傳認證結果的控制

  LTC應采取授權使用標識的方式來要求獲證組織在認證結果的宣傳和使用中采用本規(guī)則確定的認證依據(jù)，同時注明通過認證的業(yè)務類別和認證證書編號。在認證證書被暫停期間或撤銷后，應收回相應的授權。

  不應授權獲證組織在產(chǎn)品上使用上述標識，或以表示產(chǎn)品合格的方式使用上述標識。

  9. 對獲證組織的信息通報要求及響應

  為確保獲證組織的管理體系持續(xù)有效，LTC應要求獲證組織建立信息通報制度，及時向LTC通報以下信息：

  1) 業(yè)務、地點、組織機構變化等情況的信息(及時通報);

  2) 顧客投訴的相關信息(每三個月通報一次);

  3) 組織的體系文件和業(yè)務重大變化時進行通報;

  4) 有嚴重與管理體系相關事故的信息(及時通報)

  5) 其他重要信息。(視情況)

  LTC應對上述信息以及收集到的相關公共信息進行分析，視情況采取相應措施，包括增加監(jiān)督審核頻次以及暫?；虺蜂N認證資格的措施等。在發(fā)生重大客戶投訴等嚴重情況時，LTC需立即采取相應處理措施。

  10. 附錄 A ： 審核時間

  下表為 ISMS 初次認證的審核人日基數(shù)，具體審核時間需要考慮受審核方的規(guī)模、特性、

  業(yè)務復雜程度、ISMS 涵蓋的范圍、認證要求和其承擔的風險等因素。根據(jù)受審核方的特點在項目方案制定過程中可以在人日基數(shù)上進行增減。

  審核人日包括一階段審核、現(xiàn)場審核以及報告編寫的時間。

  當 ISMS 與其他管理體系結合審核時，ISMS 的審核時間可根據(jù)結合審核的其他管理體系的特點進行減少。

  監(jiān)督審核的人日數(shù)為初次認證人日數(shù)的三分之一，再認證的人日數(shù)為初次認證人日數(shù)的三分之二，上述原則僅限于獲證組織的認證范圍和組織規(guī)模未發(fā)生變化的情況。