编辑: xiaoshou | 2019-07-02 |
1 目的 为确保中国网络安全审查技术与认证中心(以下简称CCRC)的体系认证授 予、保持、更新、扩大、缩小、暂停、恢复、注销、撤销获证组织全部或部分 认证范围工作符合规定的要求,特制定本程序.
2 适用范围 本程序适用于CCRC管理体系认证证书的授予、保持、更新、扩大、缩小、暂停、恢复、注销、撤销的管理.规定了认证授予、保持、更新、扩大、缩小、 暂停、恢复、注销、撤销的条件和程序.
3 职责 3.1 管理者代表 负责本文件的批准. 3.2 体系与服务认证部负责人 负责认证决定的审批. 3.3 认证决定人员 负责给出服务资质认证证书的授予、 保持、 更新、 扩大、 缩小、 暂停、 恢复、 注销和撤销的相关决定. 3.4 项目管理人员 负责对服务资质认证证书保持、扩大、缩小、暂停、恢复、注销、撤销和证 书的自动失效进行管理. 负责对本中心暂停、 恢复、 撤销、 注销的情况及现保有证书数量进行统计 (包 括原因分析).
4 工作程序 4.1 授予认证的条件和程序 4.1.1 条件 1)认证申请方是具有法律地位的组织,或是具有较大法律地位组织的一部分;
2)国家或地方或行业有要求时,认证申请方具有规定的资质;
3)认证申请方申请认证范围在法律地位文件和资质规定的范围内;
4)认证申请方已与 CCRC 签署认证合同,并已按照认证合同规定缴纳认证费用;
5)认证申请方已按申请书要求提交申请材料,且材料真实、充分、准确有效;
6)至少近一年来,认证申请方申请认证范围内未发生国家检查不合格和重大事 故(例如重大信息安全漏洞事故) ;
7)认证申请方的管理体系符合认证标准/规范性文件要求;
8)有证据表明申请方申请认证的管理体系至少已完成过一次覆盖整个管理体系 范围的内部审核和管理评审;
9)国家或地方或行业有要求时,认证申请方申请认证范围内的组织单元、服务 及其过程和活动已满足适用的法律法规的要求;
10)通过中国网络安全审查技术与认证中心认证决定委员会的认证决定;
11)申请方积极遵守国家有关信息安全的法律法规和标准,对于存在违规现象 的,已采取纠正措施,且措施得到落实. 4.1.2 程序 1)CCRC 向认证申请方提供认证有关信息的公开文件,认证申请方已知悉并理解;
2)认证申请方按要求正式向 CCRC 提交申请书及相关附件;
3)认证申请方与 CCRC 签署认证合同,并按照规定缴纳认证费用;
4)认证申请方申请认证的管理体系文件和信息安全保证能力管理文件经审查已 覆盖申请认证范围,并符合认证标准/规范性文件;
5)认证申请方申请认证的管理体系, 经CCRC 委派的审核组的审核符合认证标准 /规范性文件和其他必要的附加要求;
其中体系认证审核分
2 阶段进行,在体系认证第一阶段,审核组将制定 审核计划、实施审核(审核取证记录、主要是评审管理体系文件) 、做出下一 步审核的决定,形成审核报告.主要包括以下内容: a) 审核组织的管理体系文件;
b) 评价组织的运作场所和具体情况、 并与相关人员进行讨论、 以确定第二阶 段审核的准备情况;