PDF《信息安全服务一、二级资质初次认证流程》

ISCCC-QOT-0401-B/0 信息安全服务资质

一、二级初次认证流程图 中国信息安全认证中心 第1页,共2页信息安全服务

一、二级资质初次认证流程 信息安全服务

一、二级资质初次认证流程图 中心项目管理人员 申请组织 审核组长 输出的相关文档 中心认证决定人员 开始 确定申请的服务资质类型,登 录中心网站,下载并填写 《信息安全服务资质认证自评 估表-公共管理》、 对应的技术自评估表、《信息 安全服务资质认证申请书》, 将上述文档及自评估证明材料 提交中心 指派审查员对材料进行非 现场审核 判定申请组织提供的 材料是否符合要求 进行认证决定 制作证书,并邮寄给申请 组织 通过 结束 补充材料,并重新提交审 查员 不符合要求 受理申请,收取认证费用 《信息安全服务资质认 证自评估表》(管理及 技术部分)、《信息安 全服务资质认证申请 书》、自评估证明材料 《非现场审核任务 委托书》 符合要求 《受理通知单》或 《合同》 《认证决定表》 《证书》 通知申请组织不通 过的原因 不通过 结束 指派审核组长(一般情况 下指派对该组织材料进行 非现场审核的审查员为组 长),并协调审查员组建 审核组 审核组按照审核计划开展现 场审核 编写《审核报告》,并将 审核材料提交中心进行认 证决定 符合要求 《审核报告》、《观察项 报告》(如有)、《不符 合项报告》(如有) 编制《审核计划》,准备现场审 核的相关表格等材料,通过项目 管理人员将《审核计划》发送给 申请组织 在审核现场通知申 请组织,本次申请 不推荐认证 不符合要求 《审核记录表》、 《首、末次会议记 录》、《公正性保密性 承诺》等 《审核计划》 编制《审核报告》,在 报告中注明不满足资质 要求的具体情况,并将 审核材料提交中心进行 认证决定 《材料问题清单》 《审核任务委托 书》 流程说明:

1、 准备阶段 申请组织根据自身实际情况确定需要申请的服务资质类型, 登录中国信息安全认证中心 网站,下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表、《信息 安全服务资质认证申请书》,实施自评估后(具体自评估表的填写方法可参考中心网站上的 《信息安全服务资质认证自评估表填写指南》),将上述文档及自评估证明材料提交中心.

ISCCC-QOT-0401-B/0 信息安全服务资质

一、二级初次认证流程图 中国信息安全认证中心 第2页,共2页

2、 非现场审核及商务阶段(此阶段工作应在三周内完成,如需要申请组织补 充材料,应在五周内完成) 项目管理人员指派审查员对申请组织提交的材料进行非现场审核;

审查员依据《信息安全服务规范》及相关技术标准,对申请组织所提供的材料是否满足 要求进行判定,并填写《审核记录表》.如满足要求,审查员通知项目管理人员向申请组织 出具《受理通知单》(如申请组织有需求,也可签订《服务资质认证合同》),收取认证费 用.如不满足要求,审查员开具《材料问题清单》,通知申请组织补充材料重新提交,并对 补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审查员应将此情况告知项 目管理人员,项目管理人员通知申请组织目前尚不具备申请资质的条件).

3、 现场审核阶段(此阶段工作应在四周内完成,如开具不符合项,应在八周 内完成) 项目管理人员指派审核组长 (一般情况下指派对该组织材料进行非现场审核的审查员为 组长),协调审查员组建审核组;

审核组长编制 《审核计划》 , 准备现场审核的相关表格等材料, 通过项目管理人员将 《审 核计划》发送给申请组织;

审核组前往对申请组织开展现场审核工作, 判断该组织目前对外提供的信息安全服务管 理及技术能力是否符合《信息安全服务规范》的要求,并依据现场审核中的实际情况对非现 场审核时已填写的《审核记录表》进行补充、完善和验证.如满足要求,审核组长编制《审 核报告》,并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核 材料提交中心进行认证决定 (如开具不符合项, 审核组长则通知申请组织在一个月内提交整 改材料) ;

如不满足要求 (例如在现场审核时发现申请组织存在材料造假等严重不符合时) , 审核组长现场通知申请组织本次申请不推荐认证,同时编制《审核报告》,在报告中注明 不满足资质要求的具体情况,并提交中心进行认证决定.

4、 认证决定阶段(此阶段工作应在两周内完成) 中心认证决定人员对审核组长提交的审核材料进行认证决定;

如认证决定通过,则通知项目管理人员进行制证;

如认证决定不通过,则通知申请组织 不通过原因.

5、 制证阶段(此阶段工作应在三周内完成) 认证决定通过,项目管理人员制作证书,并邮寄给申请组织.