个人信息安全规范认证程序规则.docx

个人信息安全规范认证程序规则文件号CEPREI-54-GM版本号1分发序号：个人信息安全规范认证程序规则广州赛宝认证中心服务有限公司批准页廖欣日期：2022.01.28刘小茵日期：2022.02.08赵国祥日期：2022.02.11本文件自批准之日起施行当前位置：文档视界个人信息安全规范认证程序规则个人信息安全规范认证程序规则目录1.总则(5)1.1.目的(5)1.2.适用范围(5)1.3.主要根据文件(5)1.4.认证根据文件(5)1.5.术语讲明(5)1.6.职责(6)2.申请方条件、责任和义务(6)2.1.申请方应具备的基本条件(6)2.2.申请方/受审核方的权利和义务(6)3.认证的公正性(7)3.1.管理委员会的组成(7)3.2.评估结论决定人员的组成(7)4.能力管理(7)4.1.人员能力要求(7)4.2.人员的选择与评价(8)4.3.能力保持、提高及行为监视(8)5.认证程序(8)5.1.审核人日(8)5.2.申请(8)5.3.第一阶段审核(9)5.4.第二阶段现场审核前的准备工作(9)5.5.第二阶段现场审核(10)5.6.颁发认证证书和证书注册(12)6.注册名录(12)7.获证组织的权利和义务(12)8.认证证书和标志的使用(12)9.获准注册后的监督管理(13)10.证书的更换(13)11.认证资格的暂停或恢复，撤销，注销和扩大或缩小认证范围(13)12.特殊审核(14)12.1.扩大认证范围(14)12.2.提早较短时间通知的审核(14)13.再认证(14)14.投诉和申述(14)15.收费讲明(15)16.附则(15)1.1.目的为使申请方/受审核方/获证组织全面了解赛宝认证中心(下面简称本中心)受理并施行个人信息安全规范认证的全经过，便于本中心有序、有效地开展个人信息安全规范认证工作，保证个人信息安全规范认证的工作质量，特制定本程序规则。1.2.适用范围本程序规则适用于本中心开展的个人信息安全规范认证工作，可为申请方/受审核方/获证组织进行个人信息安全规范认证提供指导。1.3.主要根据文件1)ISO/IEC17021：2020idtCNAS-CC01：2020（管理体系认证机构要求）；CNAS-CC01：2021（管理体系认证机构要求）；2)GB/T35273-2021（信息安全技术个人信息安全规范）；3)（国家认监委关于认证规则备案的公告）2021年第18号公告；4)CNAS-CC15（管理体系审核时间QMS、EMS、OHSMS）；5)相关法律法规的要求。1.4.认证根据文件1)GB/T35273-2021信息安全技术个人信息安全规范；1.5.术语讲明根据认证经过的变化,本规则对申请认证单位使用了不同的称呼:申请方：认证审核之前受审核方：审核经过中及获证前获证组织：获得认证证书后。管理委员会、技术委员会、各业务部门的职责与ISO9001质量管理体系认证一样，但在详细的运作要求上，在开展个人信息安全规范认证项目的评估工作时，应遵循本计划的要求。2.申请方条件、责任和义务2.1.申请方应具备的基本条件1)持有法定登记注册证实，如独立法人地位证实文件等，假如申请方是大组织的一部分(无独立法人资格)，应持有大组织的受权证实等；2)已或正在指意向阶段按GB/T35273-2021（信息安全技术个人信息安全规范）要求，建立并发布了隐私政策和相关规程。3)申请方已按规定施行了安全审计，没有发现重大缺乏。4)申请方已按规定开展了个人信息安全影响评估。5)委托认证的产品、服务、管理体系等符合相关法律法规的要求。6)未列入国家信誉信息严重失信主体相关名录。7)认证申请组织应具备评价和保持法律法规符合性的机制，并按规定向有关部门及相关方通报所发现的不符合情况。2.2.申请方/受审核方的权利和义务2.2.1申请方/受审核方的权利1)自主选择咨询单位本中心不进行咨询。2)与本中心协商确定认证采用的形式标准和认证时间。3)对参加评估审核的人员、审核日期安排有异议时，与本中心协商解决。4)有权对本中心的认证活动等提出申述/投诉和异议。2.2.2申请方/受审核方的义务1)按本中心要求提交申请文件及其附件；2)为本中心提供保证审核工作顺利进行必要的食、宿、行及办公条件；3)为本中心审核组进入审核区域、调阅文件记录、安排被访问人员等提供必要的条件；适用时，为接纳到场的观察员如认可机构评审员提供条件。4)保留顾客和/或相关方就获证组织的活动、产品或服务所提出的所有投诉记录，信息沟通记录及相应纠正措施记录，并在本中心要求时提供。重要投诉应及时通报赛宝认证中心。5)按规定及时交纳认证费用。6)申请组织有责任保持并评价法律法规要求的符合性。3.认证的公正性3.1.管理委员会的组成管理委员会的组成原则应遵循CEPREI-01（管理委员会章程）的要求，无进一步要求，但专业能力应考虑个人信息安全规范认证的特殊性。3.2.评估结论决定人员的组成相关要求参见CEPREI-03（技术委员会工作细则）及CEPREI-QP-14（认证决定程序）。个人信息安全规范认证结论决定人员的能力要求，详细见（个人信息安全规范认证专业管理和审核员专业能力评定程序）。4.能力管理4.1.人员能力要求个人信息安全规范认证涉及人员，如合同评审人员、评估方案管理人员、专业能力见证评价和专业培训指导人员、评估结论决定人员、专业评估师等的能力要求见（个人信息安全规范认证相关人员能力分析报告）和（个人信息安全规范认证审核员能力要求）。4.2.人员的选择与评价个人信息安全规范认证业务对口管理部门依本中心文件CEPREI-QP-02（人员录用、培训及监督程序）对该业务人员进行选择和评价。4.3.能力保持、提高及行为监视除根据CEPREI-QP-08（审核员管理程序）等程序施行能力保持提高及行为监视外，中心1)每年对个人信息安全规范认证知识施行专题研讨培训，培训介入人员应覆盖4.1条所列人员；2)中心指定专人负责个人信息安全规范认证信息及知识的采集，该负责人应负责整理相关信息并传递到4.1条所涉及人员，并识别培训需求，实施必要培训。5.认证程序认证决定，个人信息安全规范认证活动含申请的受理，初次认证的初次审核所包含的第一阶段和第二阶段审核，为保持认证所需进行的监督审核，在初次认证三年有效期满后获证组织希望保持认证资格而需进行的再认证审核和再认证决定等。5.1.审核人日个人信息安全规范认证初次评估、监督评估及再评估的人日确定按照（个人信息安全规范认证审核人日数控制程序）中有关的人日控制要求执行。5.2.申请(1)确认申请意向后，申请方需向本中心客户服务部提交认证申请书及其附件，客户服务部组织合同评审，并与申请方签定（个人信息安全规范认证合同）； (2)在希望正式审核前一个月，申请方按合同金额交纳认证费用。若申请人有因法律特权或专利权关系，不能让审核组评审或获得与法律法规符合性有关的资料或信息，则不能获取/维持认证资格；除非审核组能够获得客观证据表明法律法规符合性和相关体系要求已得到有效施行。有此类情况时，双方将在合同中讲明要求。客户服务部对申请文件的齐套性进行检查，文件不齐套时，通知申请方重新提交或补充。客户服务部对申请资料进行评审，在确认中心可受理申请且申请方已交纳认证费用后，即把文件移交审核部审核。5.3.第一阶段审核第一阶段审核活动包括文件审核，并通常包括现场访问。(1)审核部指定审核组进行文件审核。(2)必要时审核组按审核计划进行第一阶段现场审核，以确定申请方能否作好第二阶段审核的准备采集必要的信息，识别第二阶段审核的重点并与受审核方交换信息及约定第二阶段审核的详细事宜；(3)第一阶段审核结束后，审核组将第一阶段审核报告提交申请人。(4)第一阶段审核结论为准备不够充分时,不能进入第二阶段现场审核。5.4.第二阶段现场审核前的准备工作(1)现场审核组的正式成员应为注册审核员/高级审核员，必要时能够聘请有关的技术专家协助审核工作。审核组至少有一名具备信息安全管理要求能力的审核员。审核部应将审核组名单通知申请方，申请方如有异议且理由充足，由审核部和申请方协商调换。(2)审核组应根据提交的文件资料及受审核方个人信息安全规范认证特点进行审核策划，包括拟制审核计划，并将经批准的审核计划提交申请方确认。5.5.第二阶段现场审核(1)初次会议现场审核开场的时候，审核组长应主持召开受审核方领导参加的初次会议，向受审核方有关负责人讲明审核计划、审核程序、方法、审核的可能结果、违背法律法规和其它要求的处理以及不符合类型及保密承诺等；(2)现场取证及评价审核组根据审核计划，采取提问、交谈、查阅文件资料、现场观察、实际测定等方法，获得确切的证据，记录审核情况，对受审核方的个人信息安全管理进行有效性评价。认证审核组将抽样检查组织对法律法规符合性评价和保持机制。在审核期间，受审核方应予以协助、配合，并保证：a.审核组能够查阅和个人信息安全管理的有关的文件资料和相关记录，包括原始记录；b.审核组能够进入与个人信息安全规范认证审核有关的场所(若受审核方以为某些场所为本单位的机密场所，应在初次会议上讲明，双方协商解决)；c.审核组能够访问与个人信息安全管理有关的人员；d.为审核组提供进行个人信息安全规范审核所必需的设施和条件，并指定联络人员。(3)末次会议现场审核结束时，审核组长应主持召开受审核方领导参加的末次会议，对受审核方个人信息安全管理的符合性和有效性作出评价，公布现场审核的结论；a.受审核方如对审核结论有不同看法，与审核组不能达成一致意见时，应记录在审核报告中；b.审核组应就现场审核发现的不符合项经确认的与受审核方约定在一个适当的时间内采取纠正措施。对一般不符合项采取纠正措施的时间要求一般不超过一个月，严重不符合项一般不超过三个月。不符合项通常分为严重不符合项和一般不符合项。出现下列情况之一者，即为严重不符合：体系运行出现系统性失效。如认证根据标准的某一或多个重要经过要求要素没有覆盖、没有得到施行，或多个一般不符合同时存在导致审核员以为认证根据标准的一个或多个要素未能被覆盖或施行即屡次重复发生不符合现象，而又未能采取有效的纠正措施加以消除，构成系统性失效。.体系运行出现区域性失效。如某一部门适用管理体系要求的全面失效现象。.所发现不符合事项严重影响个人信息安全管理业绩。.组织个人信息安全行为严重违背法律法规或其它要求。对存在严重不符合项的情况，将导致受审核方的个人信息安全规范认证不能给予注册或推延给予注册。凡出现下列情况为一般不符合项：对知足个人信息安全管理要求或体系文件的要求而言，是个别的、偶尔的、孤立的、性质稍微的不合格。或者讲，对审核范围覆盖的体系而言，是个次要的问题。在个人信息安全规范认证活动中，审核员所识别组织违背法律法规要求，且未予评价并采取措施的审核发现，将构成不符合。对有意不遵守法律法规如决定交纳罚款后继续违规操作，而不寻找导致不符合的原因并制订措施的组织，将不能通过认证或保持认证资格。对存在严重违背法律法规要求的组织，需经确认已采取措施恢复法律法规符合性后，方可获得或保持认证资格。c.现场审核全部结束后，审核组将现场审核报告及全套审核文件及记录交部门行政人员。