管理体系认证实施规则.doc

疫情防控期间管理体系与服务认证实施规则CCRC-MS-001-01:2020中国网络安全审查技术与认证中心发布日期：2020年02月05日 实施日期：2020年02月05日CCRC-MS-001-01：2020 疫情防控期间管理体系与服务认证实施规则目录1.目的与范围22.认证依据23.术语和定义23.1.自评价23.2.现场审核23.3.远程审核34.审核类别和审核方式35.审核人员、审核组要求36.认证信息公开37.认证程序37.1.初次认证37.2.监督审核87.3.再认证117.4.暂停、撤消认证或缩小认证范围117.5.证书内容117.6.对获证组织正确宣传认证结果的控制128.对获证组织的信息通报要求及响应121. 目的与范围 为落实好国家市场总局颁发的市监认证【2020】9号文市场监管总局办公厅关于在新型冠状病毒感染肺炎疫情防控期间实施好质量认证相关工作的通知文件精神，确保新型冠状病毒感染肺炎疫情防控期间中心管理体系、服务认证活动合规、有效、可持续，结合中心实际及风险控制能力，对原认证实施规则作了优化调整，以确保在疫情防控期间认证工作平稳有序顺利实施并满足规定的要求。本规则用于规范中国网络安全审查技术与认证中心（简称中心）新型冠状病毒感染肺炎疫情防控期间一体化管理认证活动和信息安全服务认证活动，其中一体化认证涉及信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、质量管理体系、工程建设施工企业质量管理体系、数据中心服务能力成熟度。2. 认证依据 信息安全管理体系认证以国家标准GB/T22080-2016信息技术 安全技术 信息安全管理体系 要求为认证依据。信息技术服务管理体系认证以国家标准ISO/IEC20000-1:2011信息技术 服务管理 服务管理体系 要求为认证依据。业务连续性管理体系认证以国家标准GB/T 301462013公共安全 业务连续性管理体系 要求为认证依据。质量管理体系认证以国家标准GB/T 19001-2016质量管理体系 要求为认证依据。工程建设施工企业质量管理体系认证以国家标准GB/T 19001-2016质量管理体系 要求和GB/T50430-2017工程建设施工企业质量管理规范为认证依据数据中心服务能力成熟度认证以国家标准GB/T33136-2016信息技术服务 数据中心服务能力成熟度模型为认证依据。信息安全服务认证以CCRC-ISV-C01：2018信息安全服务 规范为认证依据。3. 术语和定义3.1. 自评价申请组织根据认证依据对自身的服务过程进行符合性评价，并进行评价证据的收集和分析，以确定组织满足认证依据的程度。3.2. 现场审核中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。3.3. 远程审核中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动，通常以远程审核工具、电话、视频、邮件等远程审核方式进行。4. 审核类别和审核方式审核类别分为初次认证审核，监督审核、再认证审核。审核方式分为远程审核和现场审核。注：在疫情防控期间，一般不安排审核员到企业现场实施审核。采取受审方详细自评价、自评价评审、远程（视频）验证和补充取证、电话交流、电子方式进行审核。对于必须要实施现场审核的，一律进行延期处理。5. 审核人员、审核组要求认证审核人员必须取得认证注册资格，并得到中心的专业能力评价，以确定其能够胜任所安排的审核任务。审核组应由能够胜任所安排的审核任务的审核人员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系类别、与信息安全服务类别相关的管理/服务和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理中/信息安全服务过程中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。 6. 认证信息公开中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息： 1) 认证服务项目； 2) 认证工作程序； 3) 认证依据； 4) 证书有效期； 5) 认证收费标准。 7. 认证程序 7.1. 初次认证7.1.1. 认证申请中心应要求申请组织的授权代表,通过网站以电子方式,至少提供以下必要的信息： 1) 认证申请书，按照系统要求填写提交，包括但不限于a 企业基本信息，包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容b 法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书，组织代码证和税务登记证（如果有）)； c 申请认证的范围；d 涉及的管理与服务过程e 管理体系和服务管理规范的运行时间；f 取得相关法规规定的行政许可文件(适用时)。2) 自评价信息，包括但不限于：a 申请组织根据认证依据所进行的符合性评价；b 申请组织根据中心自评价要求提供自评价记录表、符合性声明、自评价涉及的证据材料。7.1.2. 申请评审 中心应根据认证依据、程序等要求，在三个工作日内对申请组织提交的认证申请书及其相关资料，包括申请方自评价记录表、符合性声明、自评价涉及的证据材料,进行评审并保存评审记录，做出评审结论，以确定： 1) 所需要的基本信息都得到提供；2) 申请组织的行业类别和与之相对应的管理过程特性和管理要求； 3) 国家对相应行业的管理要求； 4) 中心与申请组织之间任何已知的理解差异得到消除； 5) 中心有能力并能够实施所申请的认证活动； 6) 申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素； 7) 核算并确定审核人日（疫情防控期间审核方式变化后审核人日计算不变）。中心应建立审核人日确定准则，根据受审核方的规模、特性、业务复杂程度、一体化管理涵盖的范围/服务认证的类别级别、认证要求和其承担的风险等因素核算并确定审核人日，以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中。对于认证风险较高或申请方无法提供自评价相关材料或提供不全的应安排现场审核，原则上延期到疫情防控期后三个月内,特殊情况,因疫情防控需要的, 应与申请方进行充分沟通，并经中心分管领导批准后,在保证人员安全的情况下实施。7.1.3. 建立审核方案在申请评审后，中心应针对申请组织建立审核方案（申请组织变更为受审核方），并由专职人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质，以及受审核一体化管理/服务的性质、功能、复杂程度以及成熟度水平。审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源，应包括以下内容：1) 审核方案的目标;2) 审核的范围与程度、数量、类型、持续时间、地点、日程安排；3) 审核准则；4) 审核方式；5) 审核组的选择；6) 所需的资源，包括交通和食宿；7) 确定的审核人日；8) 处理保密性、信息安全、健康和安全，以及其它类似事宜。疫情防控期间，审核方式调整为以下3种：1、在疫情防控期间，对于初次认证、再认证项目，在充分了解其认证必要性和紧迫性后，经中心分管领导审核批准后，可以采取详细自评价、自评价评审、远程（视频）验证和补充取证、电话沟通、电子方式进行审核。2、在疫情防控期间，对于监督审核项目，可以采取详细自评价、自评价评审、远程（视频）验证和补充取证、电话沟通、电子方式进行审核。3、对于经申请评审或审核组认为需要进行现场审核的，因疫情导致需延期实施现场审核，中心应与企业进行充分沟通，并达成一致。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。7.1.4. 确定审核组中心应依据第5章中的审核组组建原则，根据受审核方的行业、规模和业务复杂程度组建审核组，指派审核组长。7.1.5. 管理体系审核7.1.5.1. 一阶段审核审核组应对受审核方开展一阶段审核，以确定：1) 受审核方的一体化管理得到策划和实施；2) 受审核方的一体化管理已运行，并有足够的证据证明其运行情况；3) 受审核方对运行的一体化管理进行了监视、测量、分析和评价，并有充分的证据；4) 受审核方对一体化管理进行了有效的持续改进；5) 受审核方是否识别并遵守了相关的法律法规；6) 受审核方有充足的资源保障二阶段审核的进行；疫情防控期间一阶段审核时，审核组通过对受审核方提交的自评价信息进行评审，获取一阶段审核需要的信息，对于无法从自评价信息中获取的信息，审核组通过远程审核工具进行信息获取，以确保完成一阶段审核。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。7.1.5.2. 二阶段审核二阶段审核计划，审核组结合受审核方的申请材料、自评价信息、审核方案对二阶段审核的策划以及一阶段审核的结果对二阶段审核做出具体安排，包括但不限于时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排等。审核组长应至少在开展二阶段审核3个工作日之前，与受审核方就审核计划进行充分沟通，确保双方没有歧义。二阶段审核审核组按照审核计划的安排对受审核方进行审核，审核应考虑一阶段审核结果，对受审核方的管理过程和控制措施的运行情况进行评价，对一阶段审核提出的问题改进情况进行验证。二阶段审核的内容包括但不限于：1) 认证范围及组织背景(认证审核范围，组织业务、组织生存环境、管理目标和达标计划)；2) 领导职责（管理承诺，方针，组织的角色、责任和权限）；3) 策划(应对风险和机会的措施，管理目标和实现计划)； 4) 支持(资源，能力，意识，沟通，文件化信息)； 5) 运行(运行的策划和控制，风险评估，风险处置)； 6) 绩效评估(监视、测量、分析和评价，内部审核，管理评审)； 7) 改进(不符合和纠正措施，持续改进)。 疫情防控期间二阶段审核采取远程审核的方式进行，在一阶段审核的基础上,通过远程（视频）验证和补充取证、电话沟通、电子方式进行审核。审核结束后，审核组根据审核结果确定是否需要进行现场审核，如果需要进行现场审核，审核组与受审核方沟通,告知暂停审核,非疫情防控需要的,一律待疫情结束后补充实施。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。7.1.6. 信息安全服务审核7.1.6.1. 审核计划审核组长应结合受审核方的申请书/自评估信息、审核方案对审核的策划做出具体安排，包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式的安排。审核组长应至少在实施审核前与受审核方就审核计划进行充分沟通，确保双方在理解上没有歧义。7.1.6.2. 实施审核审核组长依据认证依据和审核要求，对申请方递交的资料进行审核，必要时辅以电话、视频、邮件等远程审核，并出具审核报告。疫情防控期间信息安全服务审核采取远程审核的方式进行，在企业应提供自评价报告的基础上,通过远程（视频）验证和补充取证、电话沟通、电子方式进行审核。审核结束后，审核组根据审核结果确定是否需要进行现场审核，如果需要进行现场审核，审核组与受审核方沟通,告知暂停审核,非疫情防控需要的,一律待疫情结束后补充实施。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。7.1.7. 初次认证的审核结论 审核组应对各阶段审核中收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。 如果审核发现不符合项和观察项应开具不符合项报告和观察项报告，且获得受审核方认同。审核结束后审核组应形成是否推荐认证注册的结论，审核组应根据各阶段审核的结果对受审核方的一体化管理/信息安全服务是否满足所有适用的认证依据的要求进行评价，并判断是否推荐认证注册。对于审核条款不齐全，不符合项未整改合格的和认证风险较高的应建议延期补充现场审核。审核结束后，3个工作日内，审核组长完成审核报告编制工作，并与受审核方进行沟通，确保双方对报告没有歧义。7.1.8. 认证决定 中心应指派认证决定人员，对受审核方的认证申请实施认证决定，以决定： 1) 同意认证注册，颁发有效期为一年的临时电子认证证书；2) 补充认证决定所需的信息，包括但不限于申请材料、审核材料,再行决定；特别,对于审核条款不齐全，不符合项未整改合格的和认证风险较高的需要延期补充现场审核的,待现场审核完成后再做决定3) 不同意认证注册，通知受审核方不同意的理由。认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实受审核方的一体化管理得到了建立、实施、运行、监视、评审、保持和改进做出决定。 注1：参加审核的人员不能再作为认证决定人员实施认证决定。注2：受审核方获得认证注册资格后变更为获证组织。7.1.9. 审核方案记录与变更审核方案管理人员应收集一阶段审核、二阶段审核和认证决定的信息，特别是形成的结论和变化的信息，记录到审核方案中。 并确定审核方案是否需要进行变更，如需要则更新相应项目内容。7.2. 监督审核 7.2.1. 监督情形对于持有证书的客户,疫情期间应实施监督的,采取如下方式处理: 1) 自评价加远程审核,企业按中心要求提供自评价信息,中心派遣符合资质要求的审核组,通过自评价评审和远程审核模式实施审核;2) 企业提出申请延期,企业可在疫情防控期结束之日起一个月内提出监督审核,中心将派遣符合资质要求的审核组,通过自评价评审和现场审核模式实施审核，延期期间证书保持有效，企业需要时，中心可以出具证书保持有效证明。 7.2.2. 信息收集在进行监督审核之前，中心需要收集获证组织的一体化管理/信息安全服务相关信息，以定获证组织的一体化管理/信息安全服务相关信息是否发生变化。需要客户提供的信息包括以下几个方面：1) 信息确认文件，包括但不限于：a 基本信息，包括组织名称、地址、联系人、法人等信息的变化情况；b 组织信息：包括范围、组织架构、人员数量等信息的变化情况；c 管理与服务相关信息，关键文件化信息的变化情况。2) 自评价信息：包括但不限于：a 申请组织根据中心自评价要求提供自评价表及证据材料。7.2.3. 信息评审与审核方案维护项目管理人员应对获证组织的信息确认文件进行评审，以确定：1) 获证组织的变化情况；2) 是否需要修订审核方案，需要时对审核方案进行维护。7.2.4. 监督审核实施7.2.4.1. 制定审核计划审核组应结合获证组织的信息确认文件、自评价信息、审核方案对监督审核的策划和前一次审核的结果对审核做出具体安排，包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排。审核组长应至少在实施审核3个工作日之前，与获证组织就审核计划进行充分沟通，确保双方没有歧义。监督审核并不覆盖标准所有条款，监督审核的抽样采取抽样的方式进行， 抽样准则为：1) 两次监督审核必须覆盖标准所有条款和所有部门；2) 标准中对管理过程和服务过程有决定作用的条款和部门每次监督审核都需要抽到；3) 获证组织前一次审核问题较多的部门在本次监督审核中需要抽到；4) 审核组认为重要的条款应考虑进行抽样。每次监督审核的内容应包括对以下方面：1) 内部审核（自评价信息可以替代）和管理评审；2) 对上次审核中确定的不符合采取的措施；3) 投诉的处理；4) 一体化管理和服务在实现获证客户目标和各一体化管理和服务的预期结果方面的有效性；5) 为持续改进而策划的活动的进展；6) 持续的运作控制；7) 任何变更；8) 标志的使用和（或）任何其他对认证资格的引用7.2.4.2. 审核实施 审核组按照审核计划的安排对获证组织进行审核，由于监督审核并不要求覆盖体系的所有方面，在监督审核的策划过程中，如果获证组织的认证范围信息有变化，应对变化的方面进行关注，必要时重新确认审核范围。疫情防控期间监督审核采取远程审核的方式进行，即采取自评价、自评价评审、远程（视频）验证和补充取证、电话沟通、电子方式进行审核。审核结束后，审核组根据审核结果确定是否需要进行现场审核，如果需要进行现场审核，审核组与受审核方沟通,告知暂停审核,非疫情防控需要的,一律待疫情结束后补充实施。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。7.2.5. 监督审核结论 审核组应对收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。 如果监督审核发现不符合项和观察项应开具不符合项报告，且获得获证组织认同。监督审核结束，审核组应形成是否推荐保持认证注册的结论。对于审核条款不齐全，不符合项未整改合格的和认证风险较高的应建议延期补充现场审核。监督审核结束后，3个工作日内，审核组长完成审核报告编制工作，并与获证组织进行沟通，确保双方对报告没有歧义。7.2.6. 认证决定 中心应指派认证决定人员，对获证组织的认证申请实施认证决定，以决定： 1) 同意保持认证注册，颁发认证标志；2) 补充认证决定所需的信息，包括但不限于申请材料、审核材料,再行决定；特别,对于审核条款不齐全，不符合项未整改合格的和认证风险较高的需要延期补充现场审核的,待现场审核完成后再做决定；3) 不同意保持认证注册，做出暂定或撤销的决定，通知获证组织不同意保持的理由。认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实获证组织一体化管理得到了建立、实施、运行、监视、评审、保持和改进。 7.2.7. 审核方案记录与变更审核方案管理人员应收集监督审核和认证决定的信息，特别是形成的结论和变化的信息，记录到审核方案中。 并确定审核方案是否需要进行变更，如需要则更新相应项目内容。7.3. 再认证 疫情防控期间应实施再认证的，按如下方式处理：1) 组织通过中心信息系统提交再认证申请，同时按中心要求提交组织自评价信息，中心实施审核方案管理、派遣审核组通过自评价评审和远程审核方式施再认证的审核，审核结束后，审核组根据审核结果确定是否需要进行现场审核，如果需要进行现场审核，审核组与受审核方沟通,告知暂停审核,非疫情防控需要的,一律待疫情结束后补充实施。特殊情况下,因疫情防控需要的,必须进行现场审核时，经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排，并按中心认证实施程序实施认证决定。对于通过的颁发有效期为一年的临时电子认证证书，对于审核条款不齐全，不符合项未整改合格的和认证风险较高的需要延期补充现场审核的,待现场审核完成后再做决定，但暂时保持证书有效，企业需要，中心出具证书保持有效证明。2) 企业提出申请延期,企业可在疫情防控期结束之日起一个月内提出再认证申请, 中心将派遣符合资质要求的审核组,通过自评价评审和现场审核模式实施审核。延期期间证书保持有效，企业需要时，中心可以出具证书保持有效证明。 7.4. 暂停、撤消认证或缩小认证范围 疫情解除前，中心对有效期满或需监督审核（合同有效期内或签订了监督审核合同）及再认证维持（需签订再认证合同），顺延既有认证证书有效期至疫情解除后3个月。对于受疫情影响停产而不能接受监督审核的企业所持有的认证证书，中心对认证证书实施暂停处理的时限，延迟至疫情解除后3个月。7.5. 证书内容 与原有一体化认证实施规则保持一致。7.6. 对获证组织正确宣传认证结果的控制 中心应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据，同时注明通过认证的业务类别和认证证书编号。在认证证书被暂停期间或撤销后，应收回相应的授权。 不应授权获证组织在产品上使用上述标识，或以表示产品合格的方式使用上述标识。 8. 对获证组织的信息通报要求及响应 为确保获证组织的一体化管理/信息安全服务u持续有效，中心应要求获证组织建立信息通报制度，及时向中心通报以下信息： 1) 业务、地点、组织机构变化等情况的信息(及时通报)； 2) 顾客投诉的相关信息(每三个月通报一次)； 3) 组织的体系文件和业务重大变化时进行通报； 4) 有严重一体化管理/信息安全服务相关事故的信息(及时通报) 5) 疫情防控期间，中心应将所安排的监督审核及再认证审核项目实际发生时间、相关认证证书有效期顺延情况上报市场监管总局（认监委）相关信息服务平台。6) 其他重要信息。(视情况) 中心应对上述信息以及收集到的相关公共信息进行分析，视情况采取相应措施，包括增加监督审核频次在内的措施和暂停或撤销认证资格的措施。在发生重大客户投诉等严重情况时，中心需立即采取措施。发布日期：2020年2月5日 实施日期：2020年2月5日