信息安全管理體系認證實施規則
發布日期:2025-08-29 瀏覽次數:99
目錄
1.適用范圍
2.認證依據標準
3.對認證機構的基本要求
4.對認證審核人員的基本要求
5.初次認證程序
6.監督審核程序
7.再認證程序
8.特殊審核程序
9.認證證書狀態管理規定、要求
10.認證證書及認證標志要求
11.與其他管理體系的結合審核
12.受理轉換認證證書
13.申投訴的處理
14.認證記錄的管理
15.認證依據變更
16.信息報送
17.其他
18.附則
附錄A:信息安全管理體系認證審核時間要求
附錄B: ISMS認證業務范圍分類和分級
附錄C: 確定結合審核人日數的計算方法
附錄D:具備ISMS專業能力的審核員或技術專家的資格條件
附錄E: ISMS認證證書編號規則
1.適用范圍
1.1本規則用于規范山西領拓認證有限公司(以下簡稱LTC)依據ISO/IEC27001:2022《信息安全、網絡安全和隱私保護 信息安全管理體系
要求》標準在中國境內開展的信息安全管理體系(簡稱:ISMS)認證活動。
1.2本規則依據認證認可相關法律法規,結合相關技術標準,對信息安全管理體系認證實施過程作出具體規定,明確LTC對認證過程的管理責任,保證信息安全管理體系認證活動的規范有效。
1.3本規則是LTC在信息安全管理體系認證活動中的基本要求,LTC在該項認證活動中應當遵守本規則。
2.認證依據標準
ISO/IEC27001:2022《信息安全、網絡安全和隱私保護 信息安全管理體系 要求》
3.對認證機構的基本要求
3.1獲得國家認監委批準、取得從事信息安全管理體系認證的資質。
3.2認證能力、內部管理和工作體系符合GB/T 27021.1-2017/ISO/IEC 17021-1:2015《合格評定
管理體系審核認證機構要求》和ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求
第1部分:通用》。
3.3建立內部制約、監督和責任機制,實現培訓(包括相關增值服務)、審核和作出認證決定等工作環節相互分開,符合認證公正性要求。
3.4不得將申請認證的組織(以下簡稱申請組織)是否獲得認證與參與認證審核的審核員及其他人員的薪酬掛鉤。
4.對認證審核人員的基本要求
4.1 認證審核員應當取得國家認監委確定的認證人員注冊機構頒發的信息安全管理體系審核員注冊資格。
4.2 認證人員應當遵守與從業相關的法律法規,對認證審核活動及相關認證審核記錄和認證審核報告的真實性承擔相應的法律責任。
5.初次認證程序
5.1受理認證申請
5.1.1 LTC應向申請組織至少公開以下信息:
(1)可開展信息安全管理體系認證業務的范圍,獲得認可的情況;
(2)本規則的完整內容,認證證書樣式;
(3)授予、拒絕、保持、更新、暫停(恢復)或撤銷認證以及擴大或縮小認證范圍的程序規定;
(4)擬向組織獲取的信息以及保密規定;
(5)認證收費標準;
(6)認證證書、認證標志及相關的使用規定;
(7)對認證過程和結果的申訴、投訴規定;
5.1.2 LTC應當要求申請組織至少提交以下資料:
(1)取得法人資格(或其組成部分);
(2)取得相關法規規定的行政許可(適用時);
(3)已按認證標準建立信息安全管理體系,且運行滿三個月;且已經進行了內部審核和管理評審;
(4)因獲證組織自身原因被原發證機構暫停、撤銷認證證書已滿一年(適用時);
(5)原ISMS證書發證機構被國家認監委撤銷ISMS認證資質已滿三個月(適用時);
(6)未被行政監管部門責令停業整頓;
(7)未被列入國家企業信用信息公示系統和“信用中國”發布的嚴重違法失信名單;
(8)一年內未發生行政監管部門責令停產整頓的重大信息安全事故;
(9)一年內未發生國家監督抽查(以下簡稱“國抽”)不合格,或發生國抽不合格但已按相關規定整改合格;
(10)其他應具備的條件。
5.1.3申請評審
5.1.3.1 LTC應建立相應程序,對受審核方提交的申請文件和資料實施申請評審,以確定是否受理認證申請并保存相應評審記錄。
5.1.3.2 滿足以下條件的,LTC可以受理認證申請:
(1)受審核方已具備受理條件(見5.1.2);
(2)LTC具備實施認證的能力;
(3)雙方就認證事宜達成一致。
5.1.3.3 LTC應對申請組織提交的申請資料進行評審,根據申請認證的活動范圍及場所、員工人數、完成審核所需時間和其他影響認證活動的因素,綜合確定是否有能力受理認證申請。
對被執法監管部門責令停業整頓或在國家企業信用信息公示系統中被列入“嚴重違法企業名單”的申請組織,LTC不應受理其認證申請。
5.1.3.4對符合要求的,LTC可決定受理認證申請;對不符合上述要求的,LTC應通知申請組織補充和完善,或者不受理認證申請。
5.1.4簽訂認證合同
在實施認證審核前,LTC應與申請組織訂立具有法律效力的書面認證合同,合同應至少包含以下內容:
(1)申請組織獲得認證后持續有效運行信息安全管理體系的承諾。
(2)申請組織對遵守認證認可相關法律法規,協助認證監管部門的監督檢查,對有關事項的詢問和調查如實提供相關材料和信息的承諾。
(3)申請組織承諾獲得認證后發生以下情況時,應及時向LTC通報:
①客戶及相關方有重大投訴。
②信息安全被監管部門認定不合格
③發生信息安全事故。
④相關情況發生變更,包括:法律地位、生產經營狀況、組織狀態或所有權變更;取得的行政許可資格、強制性認證或其他資質證書變更;法定代表人、最高管理者變更;生產經營或服務的工作場所變更;信息安全管理體系覆蓋的活動范圍變更;信息安全管理體系和重要過程的重大變更等。
⑤出現影響信息安全管理體系運行的其他重要情況。
(4)申請組織承諾獲得認證后正確使用認證證書、認證標志和有關信息,不利用信息安全管理體系認證證書和相關文字、符號誤導公眾認為其產品或服務通過認證。
(5)擬認證的信息安全管理體系覆蓋的生產或服務的活動范圍。
(6)在認證審核實施過程及認證證書有效期內,LTC和申請組織各自應當承擔的責任、權利和義務。
(7)認證服務的費用、付費方式及違約條款。
5.2審核方案和審核策劃
5.2.1 審核方案
5.2.1.1 LTC應針對每一受審核方建立認證周期內的審核方案,以清晰地識別所需的審核活動。
5.2.1.2 初次認證的審核方案應包括兩階段初次審核、獲證后的監督審核和認證到期前進行的再認證審核。
注:一個認證周期通常為3年,從初次認證(或再認證)決定算起,至認證的有效期截止。
5.2.1.3 初次認證審核和再認證審核是對受審核方完整體系的審核,應覆蓋ISO/IEC27001:2022所有要求,以及認證范圍內的典型產品和服務。認證證書有效期內的監督審核應覆蓋ISO/IEC27001:2022所有要求。
5.2.1.4 初次認證及再認證后的第一次監督審核應在證書簽發起12個月內進行。此后監督審核應至少每個日歷年(應進行再認證的年份除外)進行一次,且兩次監督審核的時間間隔不得超過15個月。
5.2.2審核時間
5.2.2.1 審核時間包括在受審核方現場的審核時間以及在現場審核以外的實施策劃、文件審核和編寫審核報告等活動的時間。審核時間以人天計,1人天為8小時。如果每天的實際工作時間不足8小時,則應延長審核天數以滿足人天要求。
5.2.2.2 LTC應以附錄A所規定的審核時間為基礎,考慮受審核方有效人數、ISMS風險類型等因素,建立文件化的不同類型審核的審核時間(包括現場審核時間)的確定方法。
5.2.2.3 每次審核的審核時間的確定過程應形成記錄,尤其是減少審核時間的理由,減少的時間不得超過附錄A所規定的審核時間的30%,現場審核時間不得少于所確定的審核時間的80%。
5.2.2.4 ISMS和其他管理體系實施結合審核時,結合審核的總審核時間不得少于多個單獨體系所需審核時間之和的80%,確定減少結合審核人日數的計算方法詳見附錄C.
5.2.3多場所審核的策劃
5.2.3.1當申請組織為多場所組織,具備以下資格條件時,可按照多場所策劃審核:
1)組織應具有單一管理體系;
2)中心職能是組織的一部分且不應被分包給外部的組織;
3)中心職能應獲得組織的授權以規定、建立并保持該單一管理體系;
4)組織的單一管理體系應服從集中的管理評審;
5)所有場所應服從組織的內部審核程序。
6)中心職能應有責任確保來自于所有場所的數據信息得到收集和分析,并且應能夠證明其權威和能力,以便在需要時(包括但不限于下述情況)發起組織的變更:
(i)體系文件和體系變更;
(ⅱ)管理評審;
(ⅲ)投訴;
(ⅳ)糾正措施的評價;
(v)內部審核的策劃和對結果的評價;
(vi)與適用標準有關的法律法規要求。
注:中心職能是實施控制并得到組織最高管理者授權的,是對所有場所產生影響的。并沒有要求中心職能僅處于某個單一場所。
5.2.3.2擬抽樣組織應滿足的條件
5.2.3.2.1所有場所的過程應實質上屬于同一類活動、復雜程度和風險程度相似,并按照相似的方法和程序運作,如果其中某些場所實施的過程與其他場所相似,但過程的數量少于其他場所,那么在實施大多數過程或關鍵過程的場所要接受完整審核的前提下,可以對上述過程數量較少的場所采用多場所認證。
5.2.3.2.2當組織通過位于不同地點但相關聯的過程開展業務時,如果滿足5.2.3.1條的所有其他規定,也可以進行抽樣。如果各個地點的過程雖不相似,但明顯相互關聯,那么抽樣計劃應至少包括組織實施的每個過程的一個樣本(例如,組織在一個地點生產電子元器件,在其他幾個地點組裝這些電子元器件)。
5.2.3.2.3應證實組織的中心職能已按照審核所依據的相關管理體系標準建立了管理體系,且整個組織滿足該標準的要求。該證實應考慮相關法律法規的要求。
5.2.3.2.4組織證實其有權且有能力從所有場所(包括中心職能)收集數據(包括但不限于“5.2.3.2.6”所列方面)并進行分析,并且證實其有權并有能力在必要時實施組織變更;
5.2.3.2.5不是所有滿足“多場所組織”定義的組織都可以被抽樣。當不同的場所的活動、風險明顯有差異的,不宜進行抽樣。
5.2.3.2.6不同場所在實施管理體系方面的差異,例如有的場所經常需要在管理體系內針對不同的活動或不同的合同或法規要求進行策劃的,不宜進行抽樣。
5.2.3.4抽樣準則
5.2.3.4.1樣本選取準則
5.2.3.4.1.1在選取多場所的樣本時,宜有目的地選取一部分樣本,同時隨機選取另一部分樣本,從而使樣本具有代表性,又包含隨機抽樣的成分(至少25%的樣本宜隨機選取)。初步合同審查應最大程度地識別場所之間的差異,以便確定足夠的、適當的采樣水平,并使在證書有效期內選擇的場所之間具有盡可能大的差別。
5.2.3.4.1.2機構對代表性數量場所抽樣應考慮到以下方面(但不限于以下方面):
a)總部(適宜時)及各場所內部現場審核和管理評審或以往認證審核的結果;
b)各場所在規模上的差異;
c)各場所在業務范圍上的差異;
d)投訴記錄以及糾正措施和預防措施的其他相關方面;
e)在倒班安排和工作程序上的差異;
f)場所的管理體系和過程的復雜程度;
g)上次認證審核以來的變化;
h)管理體系的成熟度和組織的理解程度;
i)地域、文化、語言和法律法規方面的差異;
j)地理位置的分散程度;
k)信息安全問題和信息安全因素及其關聯影響的程度。
5.2.3.4.1.3以下情況要全部審核:
a)有證據表明認證的風險性和復雜性很高;
b)各場所管理體系在實施上有較大的差異(廠房及設備設施、工藝、產品種類、周邊環境、人員素質、信息安全處理流程、信息技術應用等);
c)各場所涉及的法律法規或當地行政機關的要求不相同;
d)ISMS中每個具有重大風險的場所。
5.2.3.4.1.4場所的選取不一定在審核過程開始前進行,也可以在對中心職能的審核完成時由認證審核組根據現場審核信息提議場所選取方案,并與認證機構方案策劃人員溝通確認后調整方案。在任何情況下,LTC都應將擬抽樣的場所告知中心職能。LTC可以提前較短的時間通知,但宜為迎審準備留出足夠的時間。
5.2.3.4.2樣本量
對多個相似場所可抽樣審核,抽樣數量應不少于按以下方法計算的結果:
(1)初次認證審核:
(2)監督審核
(3)再認證審核
注:其中Y為抽樣的數量,結果向上取整;X為相似場所的總體數量。
5.2.3.5多場所審核時間
多場所審核人日的計算方法參見5.2.2,可依據增減因素進行調整,但審核時間不得少于依據附錄A所確定的審核時間的50%。
5.2.4審核組
5.2.4.1 LTC應當根據ISMS覆蓋的活動的認證業務范圍類別選擇具備相關專業能力的審核員組成審核組,必要時可以選擇技術專家參加審核組。審核組中的審核員承擔審核任務和責任。
注1:ISMS認證業務范圍分類詳見附錄B;
注2:具備相關專業能力的審核員或技術專家的資格條件詳見附錄D。
5.2.4.2技術專家主要負責提供認證審核的技術支持,不作為審核員實施審核,不計入審核時間,其在審核過程中的活動由審核組中的審核員承擔責任。
5.2.4.3審核組可以有實習審核員,其要在審核員的指導下參與審核,不計入審核時間,不單獨出具記錄等審核文件,其在審核過程中的活動由審核組中的審核員承擔責任。
5.2.4.4審核組成員不得與申請組織存在利益關系。
5.2.5 遠程審核
5.2.5.1 ISMS認證審核應在受審核方的現場實施,初次認證以及認證周期內的每年度的監督審核和再認證審核活動,應包括訪問受審核方現場的現場審核。
5.2.5.2 因安全因素的考慮,審核組可在受審核方的現場采用遠程審核方法對受審核方的某個過程的運作情況實施審核:
1)客戶組織及認證機構具備支持遠程審核的基礎設施;
2)客戶組織及認證機構具備實施遠程審核的人員能力;
3)不存在如下高風險情況:
a)當受審核方近一年內曾發生下列不合格或負面事件且受到相應的處罰(如列入失信企業名單、處于責令停產整治期或罰款后未通過復查等)時:
l相關監管部門已公布信息安全管理不合格信息的;
l出現對受審核方的重大投訴,且系受審核方責任的;
l發生了信息安全事故的;
l媒體負面曝光且系受審核方責任的;
b)出于對信息安全保護的需要,不適宜選擇遠程審核方式;
c)暫停恢復審核;
d)上次認證審核方式已是完全的遠程審核方式;
e)其他不適宜遠程審核的活動/過程或場所,如易燃易爆場所、無網絡信號或不具備ICT技術實施條件的關鍵活動或場所等。
5.2.5.3 審核中采用遠程審核方法的,遠程審核時間不得超過現場審核時間的30%,并應在審核計劃、審核記錄及審核報告中予以注明。
5.2.6審核計劃
5.2.6.1 LTC應為每次審核制定書面的審核計劃(第一階段審核不要求正式的審核計劃)。審核計劃至少包括以下內容:審核目的,審核準則,審核范圍,現場審核的日期和場所,現場審核持續時間,審核組成員(其中:審核員應標明認證人員注冊號;技術專家應標明專業代碼、工作單位及專業技術職稱)。
5.2.6.2為使現場審核活動能夠觀察到產品生產或服務活動情況,現場審核應安排在認證范圍覆蓋的產品生產或服務活動正常運行時進行。
5.2.6.3在審核活動開始前,審核組應將審核計劃交申請組織確認,遇特殊情況臨時變更計劃時,應及時將變更情況通知申請組織,并協商一致。
5.3實施審核
5.3.1審核組應當按照審核計劃的安排完成審核工作。除不可預見的特殊情況外,審核過程中不得更換審核計劃確定的審核員。
5.3.2審核組應當會同申請組織按照程序順序召開首、末次會議,申請組織的最高管理者及與信息安全管理體系相關的職能部門負責人員應該參加會議。參會人員應簽到,審核組應當保留首、末次會議簽到表。申請組織要求時,審核組成員應向申請組織出示身份證明文件。
5.3.3審核過程及環節
5.3.3.1初次認證審核,分為第一、二階段實施審核。
5.3.3.2第一階段審核應至少覆蓋以下內容:
(1)結合現場情況,確認申請組織實際情況與信息安全管理體系成文信息描述的一致性,特別是體系成文信息中描述的產品和服務、部門設置和職責與權限、生產或服務過程等是否與申請組織的實際情況相一致。
(2)結合現場情況,審核申請組織理解和實施ISO/IEC27001:2022標準要求的情況,評價信息安全管理體系運行過程中是否實施了內部審核與管理評審,確認信息安全管理體系是否已運行并且超過3個月。
(3)確認申請組織建立的信息安全管理體系覆蓋的活動內容和范圍、體系覆蓋范圍內有效人數、過程和場所,遵守適用的法律法規及強制性標準的情況。
(4)結合信息安全管理體系覆蓋產品和服務的特點識別對信息安全目標的實現具有重要影響的關鍵點,并結合其他因素,科學確定重要審核點。
(5)與申請組織討論確定第二階段審核安排。對信息安全管理體系成文信息不符合現場實際、相關體系運行尚未超過3個月或者無法證明超過3個月的,以及其他不具備二階段審核條件的,不應實施二階段審核。
5.3.3.3審核組應將第一階段審核情況形成書面文件告知申請組織。對在第二階段審核中可能被判定為不符合項的重要關鍵點,要及時提醒申請組織特別關注。
5.3.3.4第二階段審核應當在申請組織現場進行。重點是審核信息安全管理體系符合ISO/IEC27001:2022標準要求和有效運行情況,應至少覆蓋以下內容:
(1)在第一階段審核中識別的重要審核點的過程控制的有效性。
(2)為實現信息安全方針而在相關職能、層次和過程上建立信息安全目標是否具體適用、可測量并得到溝通、監視。
(3)對信息安全管理體系覆蓋的過程和活動的管理及控制情況。
(4)申請組織實際工作記錄是否真實。對于審核發現的真實性存疑的證據應予以記錄并在做出審核結論及認證決定時予以考慮。
(5)申請組織的內部審核和管理評審是否有效。
5.3.4發生以下情況時,審核組應向LTC報告,經LTC同意后終止審核。
(1)受審核方對審核活動不予配合,審核活動無法進行。
(2)受審核方實際情況與申請材料有重大不一致。
(3)其他導致審核程序無法完成的情況。
5.4審核報告
5.4.1審核組應對審核活動形成書面審核報告,由審核組組長簽字。審核報告應準確、簡明和清晰地描述審核活動的主要內容,至少包括以下內容:
(1)申請組織的名稱和地址。
(2)申請組織活動范圍和場所。
(3)審核的類型、準則和目的。
(4)審核組組長、審核組成員及其個人注冊信息。
(5)審核活動的實施日期和地點,包括固定現場和臨時現場;對偏離審核計劃情況的說明,包括對審核風險及影響審核結論的不確定性的客觀陳述。
(6)敘述從5.3條列明的程序及各項要求的審核工作情況,其中:對5.3.3.5條的各項審核要求應逐項描述或引用審核證據、審核發現和審核結論;對信息安全目標和過程及信息安全績效實現情況進行評價。
(7)識別出的不符合項。
(8)審核組對是否通過認證的意見建議。
5.4.2LTC應保留用于證實審核報告中相關信息的證據。
5.4.3LTC應在作出認證決定后30個工作日內將審核報告提交申請組織,并保留簽收或提交的證據。
5.4.4對終止審核的項目,審核組應將已開展的工作情況形成報告,LTC應將此報告及終止審核的原因提交給申請組織,并保留簽收或提交的證據。
5.5不符合項的糾正和糾正措施及其結果的驗證
5.5.1對審核中發現的不符合項,LTC應要求申請組織分析原因,并提出糾正和糾正措施。對于嚴重不符合,應要求申請組織在最多不超過6個月期限內采取糾正和糾正措施。LTC應對申請組織所采取的糾正和糾正措施及其結果的有效性進行驗證。
5.5.2 如果未能在第二階段結束后6個月內驗證對嚴重不符合實施的糾正和糾正措施,則應按5.6.5條處理,或者按照5.3.3.5條重新實施第二階段審核。
5.6認證決定
5.6.1 LTC應該在對審核報告、不符合項的糾正和糾正措施及其結果進行綜合評價基礎上,作出認證決定。
5.6.2認證決定人員應為LTC管理控制下的人員,審核組成員不得參與對審核項目的認證決定。
5.6.3 LTC在作出認證決定前應確認如下情形:
(1)審核報告符合本規則第5.4條要求,審核組提供的審核報告及其他信息能夠滿足作出認證決定所需要的信息。
(2)反映以下問題的不符合項,LTC已評審、接受并驗證了糾正和糾正措施的有效性。
①在持續改進信息安全管理體系的有效性方面存在缺陷,實現信息安全目標有重大疑問。
②制定的信息安全目標不可測量,或測量方法不明確。
③對實現信息安全目標具有重要影響的關鍵點的監視和測量未有效運行,或者對這些關鍵點的報告或評審記錄不完整或無效。
④其他嚴重不符合項。
(3)LTC對其他一般不符合項已評審,并接受了申請組織計劃采取的糾正和糾正措施。
5.6.4在滿足5.6.3條要求的基礎上,LTC有充分的客觀證據證明申請組織滿足下列要求的,評定該申請組織符合認證要求,向其頒發認證證書。
(1)申請組織的信息安全管理體系符合標準要求且運行有效。
(2)認證范圍覆蓋的產品和服務符合相關法律法規要求。
(3)申請組織按照認證合同規定履行了相關義務。
5.6.5申請組織不能滿足上述要求或者存在以下情況的,評定該申請組織不符合認證要求,以書面形式告知申請組織并說明其未通過認證的原因。
(1)受審核方的信息安全管理體系有重大缺陷,不符合ISO/IEC27001:2022標準的要求。
(2)發現受審核方存在重大信息安全問題或有其他與產品和服務信息安全相關嚴重違法違規行為。
5.6.6 LTC在頒發認證證書后,應當在30個工作日內按照規定的要求將認證結果相關信息報送國家認監委。
6.監督審核程序
6.1 LTC應對持有其頒發的信息安全管理體系認證證書的組織(以下稱獲證組織)進行有效跟蹤,監督獲證組織持續運行信息安全管理體系并符合認證要求。
6.2為確保達到6.1條要求,LTC應根據獲證組織的產品和服務的風險程度或其他特性,確定對獲證組織的監督審核的頻次。
6.2.1作為最低要求,初次認證后的第一次監督審核應在認證證書簽發日起12個月內進行。此后,監督審核應至少每個日歷年(應進行再認證的年份除外)進行一次,且兩次監督審核的時間間隔不得超過15個月。
6.2.2超過期限而未能實施監督審核的,應按9.1或9.2條處理。
6.2.3獲證企業信息安全檢查中被查出不合格時,機構在獲知相關信息后10個工作日內應作出相應處理。
6.3監督審核的時間,應不少于按5.2.1條計算審核時間人日數的1/3。
6.4監督審核的審核組,應符合5.2.4.3條和5.3.1條的要求。
6.5監督審核應在獲證組織現場進行,且應滿足第5.2.3.3條確定的條件。由于市場、季節性等原因,在每次監督審核時難以覆蓋所有產品和服務的,在認證證書有效期內的監督審核需覆蓋認證范圍內的所有產品和服務。
6.6監督審核時至少應審核以下內容:
(1)上次審核以來信息安全管理體系覆蓋的活動及影響體系的重要變更及運行體系的資源是否有變更。
(2)按5.3.3.2(4)條要求已識別的重要關鍵點是否按信息安全管理體系的要求正常和有效運行。
(3)對上次審核中確定的不符合項采取的糾正和糾正措施是否繼續有效。
(4)信息安全管理體系覆蓋的活動涉及法律法規規定的,是否持續符合相關規定。
(5)信息安全目標及信息安全績效是否達到信息安全管理體系確定值。如果沒有達到,獲證組織是否運行內審機制識別了原因、是否運行管理評審機制確定并實施了改進措施。
(6)獲證組織對認證標志的使用或對認證資格的引用是否符合《中華人民共和國認證認可條例》及其他相關規定。
(7)內部審核和管理評審是否規范和有效。
(8)是否及時接受和處理投訴。
(9)針對體系運行中發現的問題或投訴,及時制定并實施了有效的改進措施。
6.7在監督審核中發現的不符合項,LTC應要求獲證組織分析原因,規定時限要求獲證組織完成糾正和糾正措施并提供糾正和糾正措施有效性的證據。
LTC應采用適宜的方式及時驗證獲證組織對不符合項進行處置的效果。
6.8 監督審核的審核報告,應按6.6條列明的審核要求逐項描述或引用審核證據、審核發現和審核結論。
6.9 LTC根據監督審核報告及其他相關信息,作出繼續保持或暫停、撤銷認證證書的決定。
7.再認證程序
7.1認證證書期滿前,若獲證組織申請繼續持有認證證書,LTC應當實施再認證審核,并決定是否延續認證證書。
7.2 LTC應按5.2.4.3條和5.3.1條要求組成審核組。按照5.2.6條要求并結合歷次監督審核情況,制定再認證審核計劃交審核組實施。
在信息安全管理體系及獲證組織的內部和外部環境無重大變更時,再認證審核可省略第一階段審核,但審核時間應不少于按5.2.2條計算人日數的2/3。
7.3 對再認證審核中發現的嚴重不符合項,LTC應規定時限要求獲證組織實施糾正與糾正措施,并在原認證證書到期前完成對糾正與糾正措施的驗證。
7.4 LTC按照5.6條要求作出再認證決定。獲證組織繼續滿足認證要求并履行認證合同義務的,向其換發認證證書。
7.5 如果在當前認證證書的終止日期前完成了再認證活動并決定換發證書,新認證證書的終止日期可以基于當前認證證書的終止日期。新認證證書上的頒證日期應不早于再認證決定日期。
如果在當前認證證書終止日期前,LTC未能完成再認證審核或對嚴重不符合項實施的糾正和糾正措施未能進行驗證,則不應予以再認證,也不應延長原認證證書的有效期。
在當前認證證書到期后,如果LTC能夠在6個月內完成未盡的再認證活動,則可以恢復認證,否則應至少進行一次第二階段審核才能恢復認證。認證證書的生效日期應不早于再認證決定日期,終止日期應基于上一個認證周期。
8.特殊審核程序
8.1擴大認證范圍
對于已授予的認證,認證機構應對擴大認證范圍的申請進行評審,并確定任何必要的審核活動,以做出是否可予擴大的決定。
這類審核活動可以結合監督審核同時進行。
8.2提前較短時間通知的審核
為調查投訴、信息安全事故、對變更做出回應或對被暫停的客戶進行追蹤,可能需要在提前較短時間或不通知獲證組織的情況下進行審核:
(1)LTC應說明并使獲證組織提前了解將在何種條件下進行此類審核;
(2)由于獲證組織缺乏對審核組成員的任命表示反對的機會,認證機構應在指派審核組時給予更多的關注;
(3)獲證組織在監管部門的抽查中被查出不合格時,自監管部門發出通報起30日內,LTC應對該組織實施監督審核。
9.認證證書狀態管理規定、要求
9.1認證資格的暫停
9.1.1獲證組織有以下情形之一的,LTC應在調查核實后的5個工作日內暫停其認證資格,并保留相應證據:
(1)ISMS持續或嚴重不滿足認證要求,包括對ISMS運行有效性要求的;
(2)不滿足ISMS適用的法律法規要求,且未采取有效糾正措施的;
(3)受到與信息安全相關的行政處罰;
(4)發生較大或重大信息安全事故,反映獲證組織ISMS運行存在重大缺陷的;
(5)拒絕配合市場監管部門的認證執法監督檢查,或者提供虛假材料或信息的;
(6)持有的與ISMS范圍有關的行政許可文件、資質證書等過期失效的;
(7)不能按照規定的時間間隔接受監督審核的;
(8)未按相關規定正確引用和宣傳獲得的認證資格和有關信息,包括認證證書和認證標志的使用,造成嚴重影響或后果的;
(9)不承擔、履行認證合同約定的責任和義務的;
(10)被有關行政監管部門責令停業整頓的;
(11)發生與信息安全相關的重大輿情;
(12)主動請求暫停的;
(13)其他應暫停認證資格的。
9.1.2認證資格暫停期不得超過6個月,但屬于9.1.1第(6)項情形的暫停期可至相關單位作出許可決定之日。
9.1.3LTC應以適當方式公開暫停認證資格的信息,明確暫停的起始日期和暫停期限,并聲明在暫停期間獲證組織不得以任何方式使用認證證書、認證標識或引用認證信息。
9.2認證資格的撤銷
9.2.1獲證組織有以下情形之一的,LTC應在獲得相關信息并調查核實后5個工作日內撤銷其認證資格,并保留相應證據:
(1)被注銷或撤銷法律地位證明文件的;
(2)被列入信用嚴重失信企業名單;
(3)拒絕配合認證監管部門實施的監督檢查,或者對有關事項的詢問和調查提供了虛假材料或信息的;
(4)拒絕接受信息安全監督抽查的;
(5)出現重大信息安全事故,經執法監管部門確認是獲證組織違規造成的;
(6)有其他嚴重違反法律法規行為,受到相關行政部門處罰的;
(7)暫停認證證書的期限已滿但導致暫停的問題未得到解決或糾正的(包括持有的與ISMS范圍有關的行政許可證明、資質證書等已經過期失效但申請未獲批準);
(8)沒有運行ISMS或者已不具備運行條件的;
(9)不按相關規定正確引用和宣傳獲得的認證信息,造成嚴重影響或后果,或者LTC已要求其糾正但超過2個月仍未糾正的;
(10)其他應當撤銷認證證書的。
9.2.2撤銷認證證書后,LTC應及時收回撤銷的認證證書。若無法收回,LTC應及時在相關媒體和網站上公布或聲明撤銷決定。
9.3認證資格的注銷
獲證組織主動申請不再保持認證資格時,LTC應注銷其認證資格,并保留相應證據。
9.4認證資格的恢復
暫停期間,如獲證組織采取有效的糾正措施,造成暫停的原因已消除的,LTC應恢復其認證資格,并保留相應證據。
9.5 LTC應當在公司網站上公布認證證書暫停、撤銷、注銷的信息,同時按規定程序和要求報國家認監委。
9.6 LTC應采取有效措施避免各類無效的認證證書和認證標志被繼續使用。
10.認證證書及認證標志要求
10.1總則
10.1.1LTC應明確認證證書及認證標志使用者的權利和義務,明確LTC對使用狀況的跟蹤調查要求,以確保符合《認證證書和認證標志管理辦法》的相關要求。規定至少包括下述第10.1.2~10.1.8條內容要求:
10.1.2獲證組織應當在廣告、宣傳等活動中正確使用認證證書和認證標志,獲得認證的管理體系發生重大變化時,應當向LTC申請變更,未變更或者經認證機構調查發現不符合認證要求的,不得繼續使用該認證證書和認證標志。
10.1.3不得利用產品、服務認證證書、認證標志和相關文字、符號,誤導公眾認為其管理體系已通過認證,也不得利用管理體系認證證書、認證標志和相關文字、符號,誤導公眾認為其產品、服務已通過認證。
10.1.4獲證組織可以在認證有效期內使用管理體系認證標志,但必須接受LTC的監督管理。
10.1.5獲證組織在廣告等有關宣傳中須正確使用管理體系認證標志,只能使用與所持有的認證證書完全相同的認證標志,不得在產品上標注管理體系認證標志,只有在注明獲證組織通過管理體系認證的情況下方可在產品的包裝上標注管理體系認證標志。
10.1.6認證證書和認證標志不準以任何方式轉讓、出售或借用、冒用,使用時必須與獲證方單位名稱和產品名稱放在一起;LTC至少在監審、再認證時監督認證證書和認證標志使用狀況。
10.1.7 LTC發現獲證組織未正確使用認證證書和認證標志的,獲證組織須立即采取有效糾正措施,并跟蹤監督糾正情況。
10.1.8對不能符合認證要求的,LTC會暫停獲證組織使用直至撤銷認證證書,暫停或停止其使用認證標志,并予以公布;對撤銷或注銷的證書予以收回,無法收回的,予以公布。
10.2認證證書
10.2.1 LTC應及時向認證決定符合要求的組織出具認證證書,認證證書的簽發日期不應早于作出認證決定日期。
10.2.2ISMS認證證書的有效期最長為3年,初次認證證書有效期的起算日期為認證決定日期,再認證證書有效期的起算日期不得晚于最近一次有效認證證書的截止日期。
10.2.3對每張ISMS認證證書應賦予一個認證證書編號,認證證書編號應遵循一定的規律。
10.2.4認證證書在中華人民共和國境內使用的,證書使用的語言至少應包括中文。
10.2.5認證證書的信息應真實、準確,不產生誤導,并至少包含以下內容:
(1)獲證組織名稱、統一社會信用代碼、注冊地址、經營地址/審核地址。若認證的ISMS覆蓋多場所,表述覆蓋的相關場所的名稱和地址信息;
注:認證證書中可不包括臨時場所,當在認證證書上展示臨時場所時,應注明這些場所為臨時場所。
(2)獲證組織ISMS所覆蓋的產品、活動、服務的范圍;包括每個場所相應的認證范圍,且沒有誤導或歧義(適用時);
(3)認證依據的認證標準所采用的當時有效版本的完整標準號;
(4)證書編號(或唯一識別代碼);
(5)首次頒證日期、本次頒證日期、證書有效日期、換證日期(換證時適用)。證書應注明:“在本認證證書有效期內應通過監督審核合格后保持有效性”的提示信息;
(6)發證機構名稱、發證機構地址、簽發人、機構公章;
(7)相關的認可標識、認可注冊號(獲得相關認可時適用);
(8)證書二維碼;
(9)證書信息及證書狀態的查詢途徑。
10.3認證標志
LTC暫無認證標志。若制定使用認證標志,須符合《認證證書和認證標志管理辦法》中認證標志管理規定。認證標志的式樣、文字和名稱,不得違反法律、行政法規的規定,不得與國家推行的或其他機構制定并公布的認證標志相同或者相近似,不得妨礙社會管理秩序,不得有損社會道德風尚。標志制定后須經認監委的認證規則備案平臺公布通過后才可使用。
11.與其他管理體系的結合審核
11.1對信息安全管理體系和其他管理體系實施結合審核時,通用或共性要求應滿足本規則要求,審核報告中應清晰地體現5.4條要求,并易于識別。
11.2結合審核的審核時間人日數,不得少于多個單獨體系所需審核時間之和的80%。
12.受理轉換認證證書
12.1 LTC應當履行社會責任,嚴禁以牟利為目的受理不符合標準、不能有效執行信息安全管理體系的組織申請認證證書的轉換。
12.2 LTC受理組織申請轉換為LTC的認證證書,應該詳細了解申請轉換的原因,必要時進行現場審核。
12.3轉換僅限于現行有效認證證書。被暫停或正在接受暫停、撤銷處理的認證證書以及已失效的認證證書,不得接受轉換申請。
12.4被發證的認證機構撤銷證書的,除非該組織進行徹底整改,導致暫停或撤銷認證證書的情形已消除,否則不應受理其認證申請。
13.申投訴的處理
13.1 獲證組織對認證決定有異議的,可以向LTC提出申訴。任何組織和個人對認證過程和決定有異議的,可以向LTC提出投訴。
13.2 申訴(投訴)的提交、調查和決定不應造成針對申訴人/投訴人的歧視。LTC對申訴人(投訴人)、申訴(投訴)事項的信息應予以保密。
13.3
LTC應及時、公正、有效地處理申訴(投訴),采取必要的糾正措施。對申訴(投訴)的處理決定,應由與申訴(投訴)事項無關的人員做出,或經其審核和批準,并應在60日內將處理結果書面告知申訴人(投訴人)。
13.4 認為LTC未遵守認證相關法律法規或本規則,并導致自身合法權益受到嚴重侵害的,可以直接向LTC所在地市場監管部門或國家認監委投訴。
14.認證記錄的管理
14.1 LTC應當建立認證記錄保持制度,記錄認證活動全過程并妥善保存。
14.2 記錄應當真實準確以證實認證活動得到有效實施。記錄資料應當使用中文,保存時間至少應當與認證證書有效期一致。
14.3 以電子文檔方式保存記錄的,應采用不可編輯的電子文檔格式。
14.4 所有具有相關人員簽字的書面記錄,可以制作成電子文檔保存使用,但是原件必須妥善保存,保存時間至少應當與認證證書有效期一致。
15.認證依據變更
15.1本規則內容提及ISO/IEC27001標準時均指認證活動發生時該標準的有效版本。認證活動及認證證書中描述該標準號時,應采用當時有效版本的完整標準號。
15.2當認證依據有變更時,若國家市場監管部門有統一制訂發布的關于ISMS認證標準轉版要求的,應按國家市場監管部門要求執行,若國家市場監管部門沒有統一制訂發布認證標準轉版要求的,可按照國際標準的轉版要求執行,確保組織能夠及時獲得新版標準認證。
16.信息報送
16.1 LTC應至少在審核實施前3日,將審核計劃上報國家認監委相關網站,并應在上報認證證書信息的同時,上報管理體系審核結果信息。
16.2在頒發認證證書后,應在次月10日前,將認證結果相關信息報送國家認監委。
17.其他
17.1本規則所提及的各類證明文件的復印件應是在原件上復印的,并經審核員確認是與原件一致。
17.2 LTC可開展ISMS及相關技術標準的宣貫培訓,促使組織的全體員工正確理解和執行ISMS標準。
18.附則
18.1本規則包含的術語具有如下含義:
18.1.1申請組織:申請認證并接受認證審核、尚未獲得認證的組織;
18.1.2獲證組織:管理體系已獲認證的組織。
18.1.3ISMS認證業務范圍:以ISMS相關過程及預期結果的共性為特征的領域。
注:認證業務范圍類別與信息安全管理體系范圍內的產品、過程和服務有關,認證業務范圍也被稱作“技術領域”“行業”等。
18.1.4審核時間:策劃并完成一次完整有效的管理體系審核所需要的時間。
18.1.5現場審核時間:審核時間的一部分,包括從首次會議到末次會議之間實施審核活動的所有時間。
18.1.6遠程審核:利用信息和通信技術(ICT)在申請組織或獲證組織所在地以外的任何地方實施審核的活動。
18.1.7嚴重不符合:影響管理體系實現預期結果的能力的不符合。
注:嚴重不符合可能是下列情況:
—對過程控制是否有效或者產品或服務能否滿足規定要求存在嚴重的懷疑。
—多項輕微不符合都與同一要求或問題有關,可能表明存在系統性失效,從而構成一項嚴重不符合。
18.1.8輕微不符合:不影響管理體系實現預期結果的能力的不符合。
18.1.9多場所組織:單一管理體系覆蓋的一個組織,其構成包括經識別的中心職能以及多個場所,中心職能(并不必須是組織的總部)對某些過程、活動進行策劃和控制,在多個場所(常設的、臨時的或虛擬的)中這些過程、活動得到全部或部分實施。
附錄A :信息安全管理體系認證審核時間要求
附錄B: ISMS認證業務范圍分類和分級
附錄C: 確定結合審核人日數的計算方法
C.1 總則
確定減少結合審核人日數應綜合組織管理體系一體化程度及審核組實施一體化審核的能力兩種因素考量而確定
C.2 結合審核時間減少量
結合審核時間減少量(%)及其與管理體系一體化程序和審核組執行一體化審核能力之間的關系如下圖:
注1:圖中縱坐標為組織管理體系整合水平。審核策劃人員宜通過對組織整合管理績效的評價確定其管理體系的整合水平,評價和量化組織管理體系整合水平可參考下列因素確定:
(1)一套整合的文件,適宜時,包括適度融合的作業文件;
(2)考慮總體經營戰略和計劃的管理評審;
(3)對內部審核采用的一體化方法;
(4)對方針和目標采用的一體化方法;
(5)對體系過程采用的一體化方法;
(6)對改進機制(糾正和預防措施、測量和持續改進)采用的一體化方法;
(7)一體化的管理支持和管理職責。
注2:圖中橫坐標為審核組承擔結合審核能力的水平。可參考如下公式計算:
審核組結合審核能力水平=[(X1-1)+(X2-1)+(X3-1)+…+(Xn-1)]/[Z(Y-1)]×100%
式中 X1、X2…Xn 代表審核組中每位審核員有能力承擔管理體系審核領域的數量;
式中 Z 為結合審核組中審核員的數量;
式中 Y 為結合審核所覆蓋的整合管理體系的數量。
注3:圖中數值代表該區域可縮減的結合審核人日數占結合審核人日數起始點(T)的百分數。
注4:結合審核人日數的起始點應為各單一管理體系的審核人日數之和。其中每個單一管理體系審核人日數(Sn)是針對單一管理體系考慮了增加或減少審核人日數因素后確定的時間值(注:這里不能把結合審核作為減少單一管理體系審核人日數的一個因素)。
C.3 結合審核時間確定
結合審核時間應為結合審核人日數的起始點減去按照C.2確定的減少量,無論如何,不宜使結合審核人日數少于起始點的 80%。
附錄D:具備ISMS專業能力的審核員或技術專家的資格條件
所選擇的審核員或技術專家應具有ISMS認證業務范圍中相應專業能力,具備專業能力的審核員或技術專家應具備以下條件之一:
(1)具有適宜的高等教育學科專業本科以上學歷,并且在中低風險認證業務范圍具有至少2年(含)以上該專業的信息安全工作經歷;在高風險認證業務范圍具有3年(含)以上該專業的信息安全工作經歷;或具有其他高等教育學科專業本科以上學歷,且具有至少8年專業工作經歷及相應專業中級(含)以上技術職稱。
(2)參加該認證業務范圍的信息安全專業技術培訓且考核合格,并且在ISMS專業審核員指導下完成一定數量的ISMS專業審核活動:中低風險認證業務范圍不少于4次10個現場審核工作日,高風險認證業務范圍不少于6次20個現場審核工作日;
注1:信息安全管理專業工作經歷包括:信息安全管理、信息安全技術研究與開發及服務、信息安全相關測評認證、信息安全教學、信息安全管理相關標準制修訂等工作經歷。
注2:審核員或技術專家應具有大學本科(含)以上學歷,適宜的高等教育學科專業包括:數學與應用數學、信息與計算科學、應用物理學、地理信息科學、統計學、應用統計學、電氣工程及其自動化、電子信息工程、電子科學與技術、通信工程、微電子科學與工程、光電信息科學與工程、信息工程、自動化、計算機科學與技術、軟件工程、網絡工程、信息安全、物聯網工程、數字媒體技術、信息管理與信息系統、審計學、信息資源管理、電子商務、集成電路設計與集成系統、電子信息科學與技術、
電信工程及管理、智能科學與技術、空間信息與數字技術、電子與計算機工程、密碼學、人工智能等專業。
專業名稱如有差異或發生變化,以教育部本科或研究生學科目錄為準。
附錄E: ISMS認證證書編號規則
C.1 ISMS 認證證書編號由認證機構批準號 、獲證年份號 、ISMS 英文縮寫、順序號 、認證周期、客戶規模和子證書號構成 ,格式如下:
C.2 同一個組織的認證范圍覆蓋多個場所并需要頒發子證書時 ,在子認證證書編號后加上“-” 和序號 ,如-1(-2 ,-3,?) 。
C.3 有效期內換發證書 ,認證證書編號中的機構注冊號 、年份號 、順序號和認證的有效期保持不變 ,應注明換證日期。
C.4 再認證完成后換發證書, 按 C. 1規定重新賦予認證證書編號, 第一次再認證為“R1”, 第二次再認證為“R2”, 以此類推。
C.5 撤銷證書后, 原認證證書編號廢止,不再使用。
- 上一篇:環境管理體系認證實施規則
- 下一篇:合規管理體系認證實施規則
