認證規(guī)則和認證實施規(guī)則
信息安全管理體系認證實施規(guī)則
發(fā)布日期:2025-06-16 瀏覽次數(shù):29
目錄
1適用范圍
2認證依據(jù)
3機構(gòu)的基本要求
4認證人員的基本要求
4認證依據(jù)
5認證程序
5.1認證申請
5.2申請評審
5.3認證合同
5.4審核方案和審核策劃
5.5實施審核
5.6初次認證
5.7監(jiān)督審核
5.8再認證
5.9特殊審核
5.10不符合項及其驗證
5.11審核報告
5.12復(fù)核/認證決定
6 認證證書和認證標(biāo)志要求
7 認證資質(zhì)的暫停、撤銷和注銷
8 申訴、投訴處理
9 信息公開與報告
10 認證記錄
11 其他
12 附錄
1 適用范圍
1.1 為規(guī)范信息安全管理體系(以下簡稱ISMS)認證工作,根據(jù)《中華人民共和國認證認可條例》和《認證機構(gòu)管理辦法》等法律法規(guī),結(jié)合相關(guān)技術(shù)標(biāo)準(zhǔn)制定本規(guī)則。
1.2 本規(guī)則規(guī)定了山西領(lǐng)拓認證有限公司(以下簡稱領(lǐng)拓或LTC)實施ISMS認證的程序與管理的基本要求,是LTC從事ISMS認證活動的基本依據(jù)。
1.3 LTC在中華人民共和國境內(nèi)從事ISMS認證活動應(yīng)遵守本規(guī)則。
2 認證依據(jù)
GB/T 27007《合格評定合格評定用規(guī)范性文件的編寫指南》
GB/T 27060-2025《合格評定良好實踐指南》
GB/T 27021.1《合格評定管理體系審核與認證機構(gòu)要求第1部分:要求》
ISO/IEC 27006-1《信息安全、網(wǎng)絡(luò)安全和 隱私保護 信息安全管理體系審核和認證機構(gòu)要求 第1部分:通用》
ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》
GB/T 19011《管理體系審核指南》
《認證機構(gòu)管理辦法》
《認證證書和認證標(biāo)志管理辦法》
《中華人民共和國認證認可條例》
《國家認監(jiān)委關(guān)于加強認證規(guī)則管理的公告》(認監(jiān)委公告2025年第9號)
《國家認監(jiān)委關(guān)于加強認證規(guī)則管理的公告》實施指南
3 機構(gòu)的基本要求
3.1 獲得國家認監(jiān)委批準(zhǔn),取得從事ISMS認證的資質(zhì)。
3.2 開展ISMS認證活動,應(yīng)當(dāng)圍繞國家法律法規(guī)、信息安全政策、產(chǎn)業(yè)導(dǎo)向以及可持續(xù)發(fā)展戰(zhàn)略展開,確保認證活動符合國家整體信息安全目標(biāo),推動企業(yè)履行信息安全責(zé)任。
3.3 內(nèi)部管理和認證活動符合GB/T27021.1/ISO/IEC 17021-1《合格評定
管理體系審核與認證機構(gòu)要求第1部分:要求》和ISO/IEC 27006-1《信息安全、網(wǎng)絡(luò)安全和 隱私保護 信息安全管理體系審核和認證機構(gòu)要求
第1部分:通用》,以確保機構(gòu)持續(xù)滿足開展ISMS認證的基本要求。
3.4 建立風(fēng)險防范機制,對從事ISMS認證活動可能引發(fā)的風(fēng)險和責(zé)任采取合理有效措施。LTC
應(yīng)能證明已對其開展的ISMS認證活動可能引發(fā)的風(fēng)險進行了評估,對可能引發(fā)的責(zé)任做出了充分安排(如保險或儲備金)。
3.5 建立認證人員管理制度,包括認證人員的能力要求準(zhǔn)則,選擇、評價和聘用程序,以及能力提升機制。確保從事ISMS認證的人員持續(xù)具備相應(yīng)素質(zhì)和能力。
3.6 應(yīng)對其認證活動的公正性負責(zé),不允許商業(yè)、財務(wù)或其他壓力損害公正性。如:不得將申請認證的組織(以下簡稱“受審核方”)是否獲得認證與參與認證審核的審核員及其他人員的薪酬掛鉤。
3.7 對認證活動中所知悉的國家秘密、商業(yè)秘密負有保密義務(wù)。應(yīng)通過在法律上具有強制實施力的協(xié)議,確保在認證活動中所獲得的信息在未經(jīng)受審核方書面同意的情況下,不向第三方透漏(監(jiān)管有要求的除外)。
3.8 應(yīng)對ISMS認證活動的真實性、有效性負責(zé),加強認證人員的管理及素質(zhì)、能力提升。
4認證人員要求
4.1 遵守認證認可相關(guān)法律法規(guī)及規(guī)范性文件的要求,具有從事認證工作的基本職業(yè)操守,對認證活動及其結(jié)果的真實性承擔(dān)相應(yīng)責(zé)任。
4.2 認證審核員應(yīng)取得中國認證認可協(xié)會(CCAA)批準(zhǔn)的ISMS審核員注冊資格。
4.3 不得發(fā)生影響認證公正性的行為,應(yīng)主動告知LTC他們所了解的任何可能使其或LTC陷入利益沖突的情況。因認證人員未履行告知義務(wù)而導(dǎo)致非公正性認證結(jié)果的,認證人員應(yīng)當(dāng)負有連帶責(zé)任(如承擔(dān)因此造成的經(jīng)濟損失)。
4.4 按要求接受人員注冊/保持注冊所要求的繼續(xù)教育培訓(xùn),以及機構(gòu)要求的能力(包括知識和技能)提升活動,以持續(xù)具備從事ISMS認證工作相適宜的能力。
5 認證程序
5.1 認證申請
5.1.1 LTC應(yīng)向受審核方至少公開以下信息:
(1)可開展認證業(yè)務(wù)的范圍,獲得認可的情況;
(2)開展ISMS認證活動所依據(jù)的認證標(biāo)準(zhǔn)或其他規(guī)范性要求以及相關(guān)的認證方案、認證流程;
(3)授予、拒絕、保持、更新、暫停(恢復(fù))或撤銷認證以及擴大或縮小認證范圍的程序規(guī)定;
(4)擬向組織獲取的信息以及保密規(guī)定;
(5)認證收費標(biāo)準(zhǔn);
(6)認證證書、認證標(biāo)志及相關(guān)的使用規(guī)定;
(7)對認證過程和結(jié)果的申訴、投訴規(guī)定;
5.1.2 提出認證申請時,受審核方應(yīng)具備以下條件:
(1)取得法人資格(或其組成部分);
(2)取得相關(guān)法規(guī)規(guī)定的行政許可(適用時);
(3)已按認證標(biāo)準(zhǔn) ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系要求》建立 ISMS 體系,且運行滿三個月;且已經(jīng)進行了內(nèi)部審核和管理評審;
(4)因獲證組織自身原因被原發(fā)證機構(gòu)暫停、撤銷認證證書已滿一年(適用時);
(5)原ISMS證書發(fā)證機構(gòu)被國家認監(jiān)委撤銷ISMS認證資質(zhì)已滿三個月(適用時);
(6)未被行政監(jiān)管部門責(zé)令停業(yè)整頓;
(7)未被列入國家企業(yè)信用信息公示系統(tǒng)和“信用中國”發(fā)布的嚴重違法失信名單;
(8)一年內(nèi)未發(fā)生行政監(jiān)管部門責(zé)令停產(chǎn)整頓的重大信息安全事故;
(9)一年內(nèi)未發(fā)生信息安全國家監(jiān)督抽查(以下簡稱“國抽”)不合格,或發(fā)生國抽不合格但已按相關(guān)規(guī)定整改合格;
(10)其他應(yīng)具備的條件;
5.1.3 LTC應(yīng)要求受審核方提供以下信息和文件資料:
(1)認證申請,包括受審核方的名稱、地址、認證標(biāo)準(zhǔn)、申請的認證范圍、認證范圍內(nèi)組織人員數(shù)量及影響體系有效性的外包過程;
(2)法律地位的證明性文件,當(dāng)ISMS覆蓋多個法律實體時,應(yīng)提供每個法律實體的法律地位證明性文件;
(3)申請認證范圍所涉及的法律法規(guī)要求的行政許可文件;
(4)組織機構(gòu)及職責(zé);
(5)工藝流程/服務(wù)流程及生產(chǎn)和(或)服務(wù)的班次及輪班情況;
(6)ISMS體系運行滿足三個月的證據(jù);
(7)兩年內(nèi)所發(fā)生的信息安全事故、與信息安全相關(guān)的行政處罰、國抽不合格,一年內(nèi)所發(fā)生的其他信息安全抽查不合格的情況以及整改情況;
(8)其他需要提供的文件。
5.2 申請評審
5.2.1 LTC應(yīng)建立相應(yīng)程序,對受審核方提交的申請文件和資料實施申請評審,以確定是否受理認證申請并保存相應(yīng)評審記錄。
5.2.2 滿足以下條件的,LTC可以受理認證申請:
(1)受審核方已具備受理條件(見5.1.2);
(2)LTC具備實施認證的能力;
(3)雙方就認證事宜達成一致。
5.2.3 對于新的受審核方,LTC應(yīng)按照初次認證開展認證活動,無論其是否持有其他認證機構(gòu)頒發(fā)的ISMS有效證書。
5.2.4 LTC應(yīng)將申請評審的結(jié)果告知受審核方。
5.3 認證合同
5.3.1 通過申請評審的,LTC應(yīng)與受審核方簽訂具有法律效力的認證合同,以明確受審核方和 LTC的責(zé)任。
5.3.2 LTC的責(zé)任至少包括:
(1)及時向符合認證要求并已繳納認證費用的組織頒發(fā)認證證書,通過其網(wǎng)站或者其他形式向社會公布獲證信息;
(2)對獲證組織ISMS體系運行情況進行有效監(jiān)督,發(fā)現(xiàn)獲證組織的ISMS不能持續(xù)符合認證要求的,應(yīng)及時暫停或者撤銷其認證證書;
(3)因LTC原因(如機構(gòu)或其ISMS認證資質(zhì)被注銷或撤銷)導(dǎo)致獲證組織ISMS證書無法有效保持的,需及時告知獲證組織并做出妥善處理,并承擔(dān)由此導(dǎo)致的獲證組織的經(jīng)濟損失。
5.3.3 獲證組織的責(zé)任至少包括:
(1)遵守認證程序要求,認證過程如實提供相關(guān)材料和信息,通過ISMS認證后持續(xù)有效運行 ISMS;
(2)配合認證監(jiān)管部門的監(jiān)督檢查,配合LTC對投訴的調(diào)查;
(3)應(yīng)當(dāng)在廣告、宣傳等活動中正確使用認證證書、認證標(biāo)志和有關(guān)信息,認證證書注銷或被暫停、撤銷的,不得繼續(xù)使用該證書和相關(guān)認證標(biāo)志、信息;
(4)發(fā)生如下情況,應(yīng)及時向LTC通報:發(fā)生重大信息安全事故、受到監(jiān)管部門行政處罰、被監(jiān)管部門公布存在安全不符合、被媒體曝光存在信息安全問題、ISMS不能正常運行或發(fā)生重大變更,以及其他應(yīng)通報的情況等;
(5)承擔(dān)選擇LTC的風(fēng)險,如:因LTC資質(zhì)被撤銷而帶來的認證證書無法使用的風(fēng)險;
(6)按合同約定及時向LTC繳納認證費用。
5.4 審核方案和審核策劃
5.4.1 審核方案
5.4.1.1 LTC應(yīng)針對每一受審核方建立認證周期內(nèi)的審核方案,以清晰地識別所需的審核活動。
5.4.1.2 初次認證的審核方案應(yīng)包括兩階段初次審核、獲證后的監(jiān)督審核和認證到期前進行的再認證審核。注:一個認證周期通常為3年,從初次認證(或再認證)決定算起,至認證的有效期截止。
5.4.1.3 初次認證審核和再認證審核是對受審核方完整體系的審核,應(yīng) ISO/IEC27001:2022 《信息安全、網(wǎng)絡(luò)安全和隱私保護
信息安全管理體系 要求》所有要求,以及認證范圍內(nèi)的典型產(chǎn)品和服務(wù)。認證證書有效期內(nèi)的監(jiān)督審核應(yīng)覆蓋 ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》所有要求。
5.4.1.4 初次認證及再認證后的第一次監(jiān)督審核應(yīng)在證書簽發(fā)起12個月內(nèi)進行。此后監(jiān)督審核應(yīng)至少每個日歷年(應(yīng)進行再認證的年份除外)進行一次,且兩次監(jiān)督審核的時間間隔不得超過12個月。
5.4.1.5 LTC應(yīng)考慮受審核方不同班次完成的過程,以及其所證實的對每個班次的ISMS控制水平來策劃對不同班次實施的審核程度,以確保審核的有效性:
(1)每次審核應(yīng)至少對其中的一個班次的生產(chǎn)或服務(wù)的活動現(xiàn)場進行審核;
(2)對于未審核的班次,應(yīng)記錄不對其審核的理由。
5.4.2 審核時間
5.4.2.1 審核時間包括在受審核方現(xiàn)場的審核時間以及在現(xiàn)場審核以外的實施策劃、文件審核和編寫審核報告等活動的時間。審核時間以人天計,1人天為8小時。如果每天的實際工作時間不足8小時,則應(yīng)延長審核天數(shù)以滿足人天要求。
5.4.2.2 LTC應(yīng)以附錄B所規(guī)定的審核時間為基礎(chǔ),考慮受審核方有效人數(shù)、ISMS風(fēng)險類型等因素,建立文件化的不同類型審核的審核時間(包括現(xiàn)場審核時間)的確定方法。不同行業(yè)ISMS 風(fēng)險類型示例見附錄A表A.2。
5.4.2.3 每次審核的審核時間的確定過程應(yīng)形成記錄,尤其是減少審核時間的理由,減少的時間不得超過附錄B所規(guī)定的審核時間的30%,現(xiàn)場審核時間不得少于所確定的審核時間的80%。
5.4.2.4 LTC應(yīng)建立結(jié)合審核時間的確定方法,ISMS和其他管理體系實施結(jié)合審核時,結(jié)合審核的總審核時間不得少于多個單獨體系所需審核時間之和的80%。
5.4.2.5 對非整數(shù)審核人日的處理:如果計算后結(jié)果包括小數(shù),宜將其調(diào)整為最接近的半人日數(shù)(如:將5.3個審核人日調(diào)整為5.5個審核人日,5.2個審核人日調(diào)整為5個審核人日)。
5.4.3 多場所抽樣方案
5.4.3.1 LTC應(yīng)建立并實施多場所組織認證抽樣的規(guī)則并遵照執(zhí)行,策劃并保留多場所組織的抽樣及確定審核時間的記錄。
5.4.3.2 多場所抽樣應(yīng)基于與受審核方活動或過程性質(zhì)相關(guān)的ISMS風(fēng)險的評價,如果多個場所未涵蓋相同的活動、過程及ISMS風(fēng)險類型,則不應(yīng)抽樣,應(yīng)當(dāng)逐一到各場所進行審核。對多個相似場所可進行抽樣審核,抽樣數(shù)量應(yīng)不少于按以下方法計算的結(jié)果:
(1)初次認證審核:
(2)監(jiān)督審核:
(3)再認證審核:
注:其中Y為抽樣的數(shù)量,結(jié)果向上取整;X為相似場所的總體數(shù)量。
5.4.3.3分場所審核人日的計算方法參見5.4.2,且現(xiàn)場審核時間不得少于依據(jù)附錄B所確定的現(xiàn)場審核時間的50%。
5.4.4 組建審核組
5.4.4.1 LTC應(yīng)根據(jù)實現(xiàn)審核目的所需的能力和公正性要求組建審核組,每個審核組應(yīng)包括:
(1)審核組長,LTC應(yīng)建立審核組長的選擇、培訓(xùn)以及任用的管理制度,審核組長應(yīng)當(dāng)具有管理和領(lǐng)導(dǎo)審核組達成審核目標(biāo)的知識和技能,其能力應(yīng)至少滿足GB/T19011《管理體系審核指南》標(biāo)準(zhǔn)中對審核組長的通用要求;
(2)至少一名與受審核方所屬認證業(yè)務(wù)范圍相匹配的ISMS專業(yè)人員(專業(yè)審核員或技術(shù)專家)。
ISMS和其他管理體系實施結(jié)合審核的,審核組還應(yīng)包括其他管理體系的專業(yè)人員,確保專業(yè)人員的能力覆蓋實施結(jié)合審核的全部管理體系;
5.4.4.2 技術(shù)專家主要負責(zé)為審核組提供技術(shù)支持,不作為審核員實施審核,不計入審核時間。
5.4.4.3 實習(xí)審核員應(yīng)在正式審核員的指導(dǎo)下參加審核,不計入審核時間,其在審核過程中的活動由負責(zé)指導(dǎo)的正式審核員承擔(dān)責(zé)任。審核組中實習(xí)審核員的數(shù)量不得超過正式審核員的數(shù)量。
5.4.4.4 審核組成員不得與受審核方存在利益關(guān)系。
5.4.5 遠程審核方法
5.4.5.1 ISMS認證審核應(yīng)在受審核方的現(xiàn)場實施,初次認證以及認證周期內(nèi)的每年度的監(jiān)督審核和再認證審核活動,應(yīng)包括訪問受審核方現(xiàn)場的現(xiàn)場審核。
5.4.5.2 因安全因素的考慮,審核組可在受審核方的現(xiàn)場采用遠程審核方法對受審核方的某個過程的運作情況實施審核。
5.4.5.3 審核中采用遠程審核方法的,遠程審核時間不得超過現(xiàn)場審核時間的30%,并應(yīng)在審核計劃、審核記錄及審核報告中予以注明。
5.4.6 審核計劃
5.4.6.1 LTC應(yīng)依據(jù)審核方案為每次現(xiàn)場審核制定審核計劃。審核計劃至少包括:審核目的、審核準(zhǔn)則、審核范圍、現(xiàn)場審核的日期、時間安排和場所、審核組成員及審核任務(wù)安排。其中,審核員應(yīng)注明ISMS審核員注冊號,專業(yè)審核員和技術(shù)專家應(yīng)標(biāo)明專業(yè)代碼,在職技術(shù)專家應(yīng)注明工作單位。
5.4.6.2 現(xiàn)場審核應(yīng)安排在受審核方的生產(chǎn)或服務(wù)處于正常運行時進行。
5.4.6.3 現(xiàn)場審核開始之前,應(yīng)將審核計劃提交給受審核方并經(jīng)其確認。如需要臨時調(diào)整審核計劃,應(yīng)經(jīng)雙方協(xié)商一致后實施。
5.5 實施審核
5.5.1 審核組應(yīng)按照審核計劃實施審核,并采用中文記錄審核過程,可使用圖片、音像等作為補充材料。
5.5.2 審核組應(yīng)會同受審核方召開首末次會議,受審核方的最高管理者(因特殊原因不能參加的,應(yīng)授權(quán)高級管理層其他成員)、ISMS相關(guān)職能部門負責(zé)人應(yīng)參加會議,缺席應(yīng)記錄理由。審核組應(yīng)保留首末次會議簽到記錄。審核組應(yīng)按國家認監(jiān)委的要求完成首、末次會議現(xiàn)場審核的網(wǎng)絡(luò)簽到。
5.5.3 發(fā)生下列情況時,審核組應(yīng)向LTC報告,經(jīng)同意后終止審核:
(1)受審核方對審核活動不予配合,審核活動無法進行;
(2)受審核方實際情況與申請材料有重大不一致;
(3)其他導(dǎo)致審核程序無法完成的情況。
5.6 初次認證
5.6.1 初次認證審核應(yīng)分為兩個階段實施:第一階段審核和第二階段審核。
5.6.2 第一階段審核
5.6.2.1 第一階段審核的目的是通過了解受審核方的ISMS和其對第二階段的準(zhǔn)備情況,確定其是否具備接受第二階段審核的條件并策劃第二階段審核的關(guān)注點。第一階段審核的內(nèi)容包括但不限于以下方面:
(1)了解受審核方的情況,包括其活動、產(chǎn)品和服務(wù)、設(shè)施設(shè)備、工藝流程、現(xiàn)場運作以及適用的信息安全標(biāo)準(zhǔn);
(2)評審受審核方ISMS體系文件,確認其與組織業(yè)務(wù)活動及產(chǎn)品和服務(wù)相吻合;
(3)審核受審核方理解和實施ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》標(biāo)準(zhǔn)的情況;
(4)受審核方是否為第二階段審核做好準(zhǔn)備,已實施了內(nèi)審和管理評審;
(5)確認受審核方ISMS認證范圍、體系覆蓋范圍內(nèi)有效人數(shù)和場所;
(6)受審核方的產(chǎn)品和服務(wù)符合信息安全相關(guān)法律法規(guī)及強制性標(biāo)準(zhǔn)的情況。
5.6.2.2 為達到第一階段審核的目的和要求,除下列情況外,第一階段審核活動應(yīng)在受審核方現(xiàn)場實施:
(1)受審核方已獲本LTC頒發(fā)的其他領(lǐng)域的有效認證證書,LTC已對受審核方ISMS有充分了解;
(2)LTC有充足的理由證明受審核方的生產(chǎn)經(jīng)營或服務(wù)的技術(shù)特征明顯、過程簡單,通過對其提交文件和資料的審核可以達到第一階段審核的目的和要求;
(3)受審核方獲得了經(jīng)認可機構(gòu)認可的其他認證機構(gòu)頒發(fā)的有效的ISMS認證證書,通過對其文件和資料的審核可以達到第一階段審核的目的和要求。
LTC應(yīng)記錄未在現(xiàn)場進行第一階段審核的理由。
5.6.2.3 LTC應(yīng)將受審核方是否具備二階段審核條件的結(jié)論書面告知受審核方,包括所識別的需引起關(guān)注的、在二階段可能被判定為不符合項的問題。
5.6.3 第二階段審核
5.6.3.1 第二階段審核的目的是評價受審核方ISMS的實施情況,包括對ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護
信息安全管理體系 要求》標(biāo)準(zhǔn)要求的符合性和體系的有效性。
5.6.3.2 第二階段審核應(yīng)在受審核方的現(xiàn)場實施,至少覆蓋以下內(nèi)容:
(1)受審核方ISMS與ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》標(biāo)準(zhǔn)的符合情況及證據(jù);
(2)依據(jù)ISMS關(guān)鍵績效、目標(biāo)和指標(biāo),對績效進行的監(jiān)視、測量、報告和評審;
(3)受審核方實施ISMS的能力以及在符合適用法律法規(guī)要求方面的績效;
(4)受審核方過程的運作控制;
(5)受審核方的內(nèi)部審核和管理評審是否有效;
(6)針對受審核方ISMS方針的管理職責(zé)。
5.7 監(jiān)督審核
5.7.1 LTC應(yīng)對獲證組織進行有效跟蹤,包括依據(jù)審核方案對獲證組織開展的監(jiān)督審核,以確認獲證組織ISMS與ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護
信息安全管理體系 要求》標(biāo)準(zhǔn)的持續(xù)符合性和運行的有效性。
5.7.2 每次監(jiān)督審核應(yīng)盡可能覆蓋認證范圍內(nèi)的有代表性的生產(chǎn)/服務(wù)過程、行業(yè)類別的典型產(chǎn)品/服務(wù);并確保在認證證書有效期內(nèi)的監(jiān)督審核覆蓋認證范圍內(nèi)的所有代表性的生產(chǎn)/服務(wù)過程、行業(yè)類別的典型產(chǎn)品/服務(wù)。
5.7.3 監(jiān)督審核應(yīng)重點關(guān)注獲證組織的變更以及ISMS績效的持續(xù)改進,監(jiān)督審核的內(nèi)容至少包括:
(1)內(nèi)部審核和管理評審是否規(guī)范和有效;
(2)對上次審核中確定的不符合項采取的糾正措施及效果;
(3)ISMS在實現(xiàn)獲證組織目標(biāo)和ISMS預(yù)期結(jié)果方面的有效性;
(4)為持續(xù)改進而策劃的活動的進展;
(5)持續(xù)的運作控制;
(6)任何變更;
(7)認證證書、認證標(biāo)志的使用和(或)任何其他對認證信息的引用;
(8)ISMS相關(guān)投訴的處理。
5.7.4 監(jiān)督審核的時間應(yīng)根據(jù)獲證組織當(dāng)前情況(有效人數(shù)和ISMS風(fēng)險類型)確定,不少于依據(jù)附錄B所確定的初次認證審核時間的1/3。
5.8 再認證
5.8.1 獲證組織擬繼續(xù)持有認證證書的,應(yīng)至少在認證證書到期前3個月向LTC提出再認證申請,逾期則按初次認證申請?zhí)幚怼?/span>
5.8.2 LTC應(yīng)依據(jù)審核方案實施再認證審核,以判斷獲證組織的ISMS作為一個整體與
ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》持續(xù)符合性和運行的有效性。
5.8.3 再認證審核應(yīng)在獲證組織現(xiàn)場進行,并至少應(yīng)在認證證書到期完成。再認證審核的內(nèi)容至少應(yīng)包括:
(1)結(jié)合其內(nèi)部環(huán)境和外部環(huán)境的變化情況,確認獲證組織ISMS有效性及認證范圍的持續(xù)相關(guān)性和適宜性;
(2)ISMS績效持續(xù)改進的證實;
(3)ISMS在實現(xiàn)獲證組織目標(biāo)和ISMS預(yù)期結(jié)果方面的有效性。
5.8.4 再認證審核策劃時應(yīng)考慮獲證組織最近一個認證周期內(nèi)的ISMS績效,包括調(diào)閱以往的監(jiān)督審核報告。
5.8.5 再認證審核的審核時間應(yīng)按5.4.2的要求,根據(jù)獲證組織當(dāng)前情況(有效人數(shù)和ISMS風(fēng)險類型)來確定,不少于依據(jù)附錄B所確定的初次認證審核時間的2/3。
5.9 特殊審核
5.9.1 擴大認證范圍對于已授予的認證,LTC應(yīng)對擴大認證范圍的申請進行評審,并確定任何必要的審核活動,以做出是否可予擴大的決定。這類審核活動可以結(jié)合監(jiān)督審核同時進行。
5.9.2 提前較短時間通知的審核為調(diào)查投訴、信息安全事故、對變更做出回應(yīng)或?qū)Ρ粫和5目蛻暨M行追蹤,可能需要在提前較短時間或不通知獲證組織的情況下進行審核:
(1)LTC應(yīng)說明并使獲證組織提前了解將在何種條件下進行此類審核;
(2)由于獲證組織缺乏對審核組成員的任命表示反對的機會,LTC應(yīng)在指派審核組時給予更多的關(guān)注;
5.10不符合項及其驗證
5.10.1對審核中發(fā)現(xiàn)的不符合項,LTC應(yīng)要求受審核方在規(guī)定的時限內(nèi)進行原因分析,采取相應(yīng)的糾正措施。
5.10.2LTC應(yīng)對受審核方所采取的糾正措施的有效性進行驗證。受審核方可以針對輕微不符合項制定糾正措施計劃,由LTC在下次審核時驗證。
5.10.3 嚴重不符合項的驗證時限應(yīng)滿足以下要求:
(1)初次認證:在二階段審核結(jié)束之日起3個月內(nèi)完成;
(2)監(jiān)督審核:在審核結(jié)束之日起15天內(nèi)完成;
(3)再認證:在審核結(jié)束之日起15天內(nèi)完成。
5.10.4 對于受審核方未能在規(guī)定的時限內(nèi)完成對不符合項所采取措施的情況,LTC不應(yīng)做出授予認證、保持認證或更新認證的決定。
5.11 審核報告
5.11.1 LTC應(yīng)就每次審核向受審核方提供書面的審核報告。審核組長應(yīng)對審核報告的內(nèi)容負責(zé)。
5.11.2 審核報告的內(nèi)容應(yīng)準(zhǔn)確、簡明和清晰,反映受審核方ISMS的真實狀況,描述對照ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系
要求》標(biāo)準(zhǔn)的符合性和有效性的客觀證據(jù)信息,及對認證結(jié)論的推薦意見。
5.11.3 審核報告至少應(yīng)包括或引用以下內(nèi)容:
(1)認證機構(gòu)名稱;
(2)受審核方的名稱和地址及其代表;
(3)審核類型(例如初次、監(jiān)督、再認證或其他類型審核);
(4)結(jié)合、聯(lián)合或一體化審核情況(適用時);
(5)審核準(zhǔn)則;
(6)審核目的及其是否達到的確認;
(7)審核范圍,特別是標(biāo)識出所審核的組織、職能單元或過程,以及審核時間;
(8)任何偏離審核計劃的情況及其理由;
(9)任何影響審核方案的重要事項;
(10)審核組成員姓名、身份及任何與審核組同行的人員;
(11)審核活動(現(xiàn)場或非現(xiàn)場,永久或臨時場所)的實施日期和地點;
(12)應(yīng)描述與審核類型的要求一致的審核發(fā)現(xiàn)、審核證據(jù)(或?qū)徍俗C據(jù)的引用)以及審核結(jié)論,重點反映受審核方主要產(chǎn)品和服務(wù)提供過程與控制情況、內(nèi)部審核和管理評審的過程、所取得的績效,受審核方實際情況與其預(yù)期信息安全目標(biāo)之間存在的差距和改進機會;
(13)行政監(jiān)管部門在信息安全方面抽查的不合格情況,及相關(guān)原因分析和整改措施的有效性(適用時);
(14)上次審核后發(fā)生的影響受審核方ISMS的重要變更(適用時);
(15)受審核方對認證證書和認證標(biāo)志的使用進行著有效的控制(適用時);
(16)對以前不符合采取的糾正措施有效性的驗證情況(適用時);
(17)已識別出的任何未解決的問題;
(18)說明審核基于對可獲得信息的抽樣過程的免責(zé)聲明;
(19)審核組的推薦意見以及對認證范圍適宜性的結(jié)論。
5.11.4 LTC應(yīng)保留用于證實審核報告中相關(guān)信息的證據(jù)。
5.11.5 LTC應(yīng)將審核報告提交受審核方。
5.11.6 對終止審核的項目,審核組應(yīng)將終止審核的原因以及已開展的工作情況形成報告,LTC 應(yīng)將此報告提交給受審核方。
5.12 復(fù)核/認證決定
5.12.1 LTC應(yīng)在對審核報告、不符合項的糾正措施及驗證情況和其他信息進行綜合評價的基礎(chǔ)上,做出認證決定。認證決定人員應(yīng)為LTC管理控制下的專職認證人員,并不得為審核組成員,能力應(yīng)滿足關(guān)于LTC資質(zhì)審批的相關(guān)要求。認證決定過程不得外包,認證決定須由中華人民共和國境內(nèi)的工作人員做出。
5.12.2 LTC應(yīng)有充分的證據(jù)確認受審核方滿足下列條件時,做出授予、更新、擴大認證范圍的決定:
(1)5.1.2中的認證條件;
(2)對于嚴重不符合,已評審、接受并驗證了糾正措施的有效性;對于輕微不符合,已評審、接受了受審核方的糾正措施或計劃采取的糾正措施;
(3)受審核方的ISMS總體符合ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》標(biāo)準(zhǔn)要求且運行有效;
(4)受審核方按照認證合同規(guī)定履行了相關(guān)義務(wù)。
5.12.3 初次認證審核的認證決定應(yīng)在現(xiàn)場審核后6個月內(nèi)完成。否則應(yīng)在推薦認證注冊前再實施一次第二階段審核。
5.12.4 再認證審核的認證決定應(yīng)在上一認證周期認證證書到期前完成,否則應(yīng)在推薦認證注冊前再實施一次第二階段審核。
5.12.5 受審核方不能滿足5.12.2要求的,LTC應(yīng)以書面形式告知并說明其未通過認證的原因。
5.12.6 對于監(jiān)督審核,LTC在滿足下列條件時,可根據(jù)審核組長的肯定性結(jié)論保持對獲證組織的認證,無需再進行獨立的認證決定:
(1)監(jiān)督審核未發(fā)現(xiàn)嚴重不符合項及其他可能導(dǎo)致認證資格暫停、撤銷的情況;
(2)獲證組織認證信息未發(fā)生變更,不存在擴大、縮小認證范圍的情況;
(3)LTC建立了監(jiān)督審核的監(jiān)視機制并予以實施,可確保監(jiān)督審核活動的有效性。
6.認證證書和認證標(biāo)志
6.1 總則
6.1.1 LTC應(yīng)制定相應(yīng)管理制度,要求獲證組織正確使用ISMS認證證書和認證標(biāo)志,以滿足《認證證書和認證標(biāo)志管理辦法》中相關(guān)規(guī)定。
6.1.2 獲證組織可以在認證有效期內(nèi)使用ISMS認證標(biāo)志,并接受LTC的監(jiān)督管理。
6.1.3 獲證組織應(yīng)當(dāng)在廣告等有關(guān)宣傳中正確使用ISMS認證標(biāo)志,不得在產(chǎn)品上標(biāo)注ISMS認證標(biāo)志,只有在注明獲證組織通過ISMS認證的情況下方可在產(chǎn)品的包裝上標(biāo)注ISMS認證標(biāo)志。
6.1.4 LTC發(fā)現(xiàn)獲證組織未正確使用認證證書和認證標(biāo)志的,應(yīng)當(dāng)要求獲證組織立即采取有效糾正措施,并跟蹤監(jiān)督糾正情況。
6.2 認證證書
6.2.1 LTC應(yīng)及時向認證決定符合要求的組織出具認證證書,認證證書的簽發(fā)日期不應(yīng)早于做出認證決定日期。
6.2.2 ISMS認證證書的有效期最長為3年,初次認證證書有效期的起算日期為認證決定日期,再認證證書有效期的起算日期不得晚于最近一次有效認證證書的截止日期。
6.2.3 對每張ISMS認證證書應(yīng)賦予一個認證證書編號,認證證書編號應(yīng)遵循一定的規(guī)律。
6.2.4 認證證書在中華人民共和國境內(nèi)使用的,證書使用的語言至少應(yīng)包括中文。
6.2.5 認證證書的信息應(yīng)真實、準(zhǔn)確,不產(chǎn)生誤導(dǎo),并至少包含以下內(nèi)容:
(1)獲證組織名稱、統(tǒng)一社會信用代碼、注冊地址、認證范圍所覆蓋的經(jīng)營地址。若認證的ISMS覆蓋多場所,應(yīng)表述認證所覆蓋的所有場所的地址信息;
注:認證證書中可不包括臨時場所,當(dāng)在認證證書上展示臨時場所時,應(yīng)注明這些場所為臨時場所。
(2)獲證組織ISMS所覆蓋的產(chǎn)品、活動、服務(wù)的范圍;包括每個場所相應(yīng)的認證范圍,且沒有誤導(dǎo)或歧義(適用時);
(3)認證依據(jù)的認證標(biāo)準(zhǔn)ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》所采用的當(dāng)時有效版本的完整標(biāo)準(zhǔn)號;
(4)證書簽發(fā)日期和有效截止日期,證書應(yīng)注明:獲證組織必須定期接受監(jiān)督審核并經(jīng)審核合格此證書方繼續(xù)有效的提示信息。
(5)證書編號(或唯一的識別代碼);
(6)LTC名稱、地址;
(7)認證標(biāo)志、相關(guān)的認可標(biāo)識及認可注冊號(適用時);
(8)證書信息及證書狀態(tài)的查詢途徑。
7. 認證資格的暫停、撤銷和注銷
7.1 總則
LTC應(yīng)制定認證資格暫停、撤銷和注銷的文件化的管理制度,并遵照執(zhí)行,不得隨意暫停、撤銷和注銷認證資格。
7.2 認證資格的暫停
7.2.1 獲證組織有以下情形之一的,LTC應(yīng)在調(diào)查核實后的5個工作日內(nèi)暫停其認證資格,并保留相應(yīng)證據(jù):
(1)ISMS持續(xù)或嚴重不滿足認證要求的;
(2)不滿足ISMS適用的法律法規(guī)要求,且未采取有效糾正措施的;
(3)受到與信息安全相關(guān)的行政處罰;
(4)發(fā)生較大或重大信息安全事故,反映獲證組織ISMS運行存在重大缺陷的;
(5)拒絕配合市場監(jiān)管部門的認證執(zhí)法監(jiān)督檢查,或者提供虛假材料或信息的;
(6)持有的與ISMS范圍有關(guān)的行政許可文件、資質(zhì)證書、強制性認證證書等過期失效的;
(7)不能按照規(guī)定的時間間隔接受監(jiān)督審核的;
(8)未按相關(guān)規(guī)定正確引用和宣傳獲得的認證資格和有關(guān)信息,包括認證證書和認證標(biāo)志的使用,造成嚴重影響或后果的;
(9)不承擔(dān)、履行認證合同約定的責(zé)任和義務(wù)的;
(10)被有關(guān)行政監(jiān)管部門責(zé)令停業(yè)整頓的;
(11)發(fā)生與信息安全相關(guān)的重大輿情;
(12)主動請求暫停的;
(13)其他應(yīng)暫停認證資格的。
7.2.2 LTC可根據(jù)暫停的原因和性質(zhì)確定暫停期限,暫停期限最長不得超過6個月。
7.2.3 暫停期間,如獲證組織采取有效的糾正措施,造成暫停的原因已消除的,LTC應(yīng)恢復(fù)其認證資格,并保留相應(yīng)證據(jù)。
7.3 認證資格的撤銷
7.3.1 獲證組織有以下情形之一的,LTC應(yīng)在獲得相關(guān)信息并確認后5個工作日內(nèi)撤銷其認證資格,并保留相應(yīng)證據(jù):
(1)被注銷或撤銷法律地位證明文件的;
(2)被國家企業(yè)信用信息公示系統(tǒng)和“信用中國”列入嚴重違法失信名單的;
(3)認證資格的暫停期限已滿,但導(dǎo)致暫停的問題未得到解決或有效糾正的;
(4)因獲證組織違規(guī)造成重大信息安全事故的;
(5)有其他嚴重違反ISMS相關(guān)法律法規(guī)行為,受到相關(guān)行政監(jiān)管部門處罰的;
(6)ISMS沒有運行或者已不具備運行條件的;
(7)不按相關(guān)規(guī)定正確引用和宣傳獲得的認證信息,造成嚴重影響或后果,或者LTC已要求其糾正但超過1個月仍未糾正的;
(8)其他應(yīng)撤銷認證資格的。
7.4 認證資格的注銷獲證組織主動申請不再保持認證資格時,LTC應(yīng)注銷其認證資格,并保留相應(yīng)證據(jù)。
8.申訴(投訴)處理
8.1 LTC應(yīng)建立文件化的申訴(投訴)處理制度,并遵照執(zhí)行。受審核方或受審核方對認證決定有異議的,可以向LTC提出申訴。任何組織和個人對認證過程和決定有異議的,可以向LTC提出投訴。
8.2 申訴(投訴)的提交、調(diào)查和決定不應(yīng)造成針對申訴人/投訴人的歧視。LTC對申訴人(投訴人)、申訴(投訴)事項的信息應(yīng)予以保密。
8.3 LTC應(yīng)及時、公正、有效地處理申訴(投訴),采取必要的糾正措施。對申訴(投訴)的處理決定,應(yīng)由與申訴(投訴)事項無關(guān)的人員做出,或經(jīng)其審核和批準(zhǔn),并應(yīng)在60日內(nèi)將處理結(jié)果書面告知申訴人(投訴人)。
8.4 認為LTC未遵守認證相關(guān)法律法規(guī)或本規(guī)則,并導(dǎo)致自身合法權(quán)益受到嚴重侵害的,可以直接向LTC所在地市場監(jiān)管部門或國家認監(jiān)委投訴。
9.信息公開與報告
9.1 LTC應(yīng)建立文件化的認證信息報告制度,并遵照執(zhí)行。按照國家認監(jiān)委關(guān)于認證信息上報的要求,按時上報認證相關(guān)信息,至少包括:
(1)上一年度工作報告;
(2)社會責(zé)任報告;
(3)認證計劃及認證結(jié)果;
(4)認證證書的狀態(tài);
(5)其他應(yīng)報告的信息。
9.2 LTC應(yīng)至少在審核實施前3天,將審核計劃上報國家認監(jiān)委相關(guān)網(wǎng)站,并應(yīng)在上報認證證書信息的同時,上報管理體系審核結(jié)果信息。
9.3 LTC在頒發(fā)認證證書后,應(yīng)在次月10日前,將認證結(jié)果相關(guān)信息報送國家認監(jiān)委。
LTC應(yīng)通過其網(wǎng)站或者其他形式,向公眾提供查詢認證證書有效性的方式。
9.4 LTC應(yīng)通過其網(wǎng)站或者其他方式公開暫停、撤銷、注銷認證證書的信息,暫停證書的,還應(yīng)明確暫停的起始日期和暫停期限。LTC應(yīng)在暫停、撤銷、注銷認證證書之日起2個工作日內(nèi),按規(guī)定程序和要求報國家認監(jiān)委。
9.5 獲證組織發(fā)生重大信息安全事故的,LTC應(yīng)在事故發(fā)生之日起2個工作日內(nèi),將該組織的認證情況及最近一個認證周期的認證材料報送獲證組織所在地市場監(jiān)管部門。
10.認證記錄
10.1 LTC應(yīng)建立文件化的認證記錄、認證資料歸檔留存制度,記錄認證活動全過程并妥善保存,歸檔留存時間為認證證書有效期屆滿或者被注銷、撤銷之日起2年以上。
10.2 認證記錄應(yīng)真實、準(zhǔn)確、完整,以證實認證活動得到有效實施。認證記錄包括但不限于:
(1)認證申請書;
(2)認證申請評審記錄;
(3)認證合同;
(4)審核方案;
(5)審核計劃;
(6)首、末次會議簽到表;
(7)現(xiàn)場審核記錄;
(8)不符合項報告及驗證記錄;
(9)審核報告;
(10)認證決定記錄。
10.3 在認證證書有效期內(nèi),認證活動參與各方簽字或者蓋章的認證記錄、資料等,應(yīng)保存具有法律效力的紙質(zhì)版原件。簽字或蓋章的認證記錄至少包括:
(1)認證申請書;
(2)認證合同;
(3)審核計劃;
(4)首、末次會議簽到表;
(5)不符合項報告及驗證記錄。
10.4 認證記錄應(yīng)使用中文,以電子文檔的形式保存認證記錄的,應(yīng)采用不可編輯的方式。
11.其他
11.1 認證標(biāo)準(zhǔn)換版
LTC應(yīng)按照國家市場監(jiān)管部門統(tǒng)一制訂發(fā)布的信息安全標(biāo)準(zhǔn)的換版工作要求,執(zhí)行落實標(biāo)準(zhǔn)的換版工作,確保組織能夠及時獲得新版標(biāo)準(zhǔn)認證。
11.2內(nèi)部審核
LTC應(yīng)建立文件化的內(nèi)部審核程序并遵照執(zhí)行,確保至少每年對ISMS認證開展情況實施內(nèi)部審核。內(nèi)部審核應(yīng)包括對本規(guī)則執(zhí)行情況的自查,并保持相應(yīng)記錄和報告。
11.3同行評議
LTC應(yīng)積極配合國家認證監(jiān)管部門組織安排的對本機構(gòu)實施的同行評議活動,并在要求的時間內(nèi)對同行評議中發(fā)現(xiàn)的ISMS認證活動中存在的問題采取有效的糾正措施,以持續(xù)符合本規(guī)則的要求。
11.4 ISMS技術(shù)服務(wù) LTC可為組織提供ISMS技術(shù)服務(wù)。為確保沒有利益沖突,參與了對某組織ISMS技術(shù)服務(wù)的人員2
年內(nèi)不應(yīng)被LTC安排針對該組織的審核或其他認證活動。
11.5認證數(shù)據(jù)安全
LTC應(yīng)嚴格落實《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)要求,在中華人民共和國境內(nèi)開展ISMS認證活動中收集和產(chǎn)生的重要信息和數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲,確保信息和數(shù)據(jù)處于有效保護和合法利用的狀態(tài)。未經(jīng)安全評估和網(wǎng)信等相關(guān)部門批準(zhǔn),LTC不得向境外傳輸、提供、公開存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
12.附錄
附錄 A
