疫情防控期间管理体系与服务认证实施规则
为落实好国家市场总局颁发的市监认证【2020】9号文《市场监管总局办公厅关于在新型冠状病毒感染肺炎疫情防控期间实施好质量认证相关工作的通知》文件精神,确保新型冠状病毒感染肺炎疫情防控期间中心管理体系、服务认证活动合规、有效、可持续,结合中心实际及风险控制能力,对原认证实施规则作了优化调整,以确保在疫情防控期间认证工作平稳有序顺利实施并满足规定的要求。
本规则用于规范中国网络安全审查技术与认证中心(简称中心)新型冠状病毒感染肺炎疫情防控期间一体化管理认证活动和信息安全服务认证活动,其中一体化认证涉及信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、质量管理体系、工程建设施工企业质量管理体系、数据中心服务能力成熟度。
信息安全管理体系认证以国家标准GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》为认证依据。
信息技术服务管理体系认证以国家标准ISO/IEC20000-1:2011《信息技术 服务管理 服务管理体系 要求》为认证依据。
业务连续性管理体系认证以国家标准GB/T 30146—2013《公共安全 业务连续性管理体系 要求》为认证依据。
质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》为认证依据。
工程建设施工企业质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》和GB/T50430-2017《工程建设施工企业质量管理规范》为认证依据
数据中心服务能力成熟度认证以国家标准GB/T33136-2016《信息技术服务 数据中心服务能力成熟度模型》为认证依据。
信息安全服务认证以CCRC-ISV-C01:2018《信息安全服务 规范》为认证依据。
申请组织根据认证依据对自身的服务过程进行符合性评价,并进行评价证据的收集和分析,以确定组织满足认证依据的程度。
中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。
中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动,通常以远程审核工具、电话、视频、邮件等远程审核方式进行。
审核类别分为初次认证审核,监督审核、再认证审核。
审核方式分为远程审核和现场审核。
注:在疫情防控期间,一般不安排审核员到企业现场实施审核。采取受审方详细自评价、自评价评审、远程(视频)验证和补充取证、电话交流、电子方式进行审核。
对于必须要实施现场审核的,一律进行延期处理。
认证审核人员必须取得认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。
审核组应由能够胜任所安排的审核任务的审核人员组成。必要时可以补充技术专家以增强审核组的技术能力。
具有与管理体系类别、与信息安全服务类别相关的管理/服务和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理中/信息安全服务过程中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:
1) 认证服务项目;
2) 认证工作程序;
3) 认证依据;
4) 证书有效期;
5) 认证收费标准。
中心应要求申请组织的授权代表,通过网站以电子方式,至少提供以下必要的信息:
1) 认证申请书,按照系统要求填写提交,包括但不限于
a. 企业基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容
b. 法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));
c. 申请认证的范围;
d. 涉及的管理与服务过程
e. 管理体系和服务管理规范的运行时间;
f. 取得相关法规规定的行政许可文件(适用时)。
2) 自评价信息,包括但不限于:
a. 申请组织根据认证依据所进行的符合性评价;
b. 申请组织根据中心自评价要求提供自评价记录表、符合性声明、自评价涉及的证据材料。
中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料,包括申请方自评价记录表、符合性声明、自评价涉及的证据材料,进行评审并保存评审记录,做出评审结论,以确定:
1) 所需要的基本信息都得到提供;
2) 申请组织的行业类别和与之相对应的管理过程特性和管理要求;
3) 国家对相应行业的管理要求;
4) 中心与申请组织之间任何已知的理解差异得到消除;
5) 中心有能力并能够实施所申请的认证活动;
6) 申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
7) 核算并确定审核人日(疫情防控期间审核方式变化后审核人日计算不变)。
中心应建立审核人日确定准则,根据受审核方的规模、特性、业务复杂程度、一体化管理涵盖的范围/服务认证的类别级别、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中。
对于认证风险较高或申请方无法提供自评价相关材料或提供不全的应安排现场审核,原则上延期到疫情防控期后三个月内,特殊情况,因疫情防控需要的, 应与申请方进行充分沟通,并经中心分管领导批准后,在保证人员安全的情况下实施。
在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核方),并由专职人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核一体化管理/服务的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:
1) 审核方案的目标;
2) 审核的范围与程度、数量、类型、持续时间、地点、日程安排;
3) 审核准则;
4) 审核方式;
5) 审核组的选择;
6) 所需的资源,包括交通和食宿;
7) 确定的审核人日;
8) 处理保密性、信息安全、健康和安全,以及其它类似事宜。
疫情防控期间,审核方式调整为以下3种:
1、在疫情防控期间,对于初次认证、再认证项目,在充分了解其认证必要性和紧迫性后,经中心分管领导审核批准后,可以采取详细自评价、自评价评审、远程(视频)验证和补充取证、电话沟通、电子方式进行审核。
2、在疫情防控期间,对于监督审核项目,可以采取详细自评价、自评价评审、远程(视频)验证和补充取证、电话沟通、电子方式进行审核。
3、对于经申请评审或审核组认为需要进行现场审核的,因疫情导致需延期实施现场审核,中心应与企业进行充分沟通,并达成一致。特殊情况下,因疫情防控需要的,必须进行现场审核时,经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。
中心应依据第5章中的审核组组建原则,根据受审核方的行业、规模和业务复杂程度组建审核组,指派审核组长。
审核组应对受审核方开展一阶段审核,以确定:
1) 受审核方的一体化管理得到策划和实施;
2) 受审核方的一体化管理已运行,并有足够的证据证明其运行情况;
3) 受审核方对运行的一体化管理进行了监视、测量、分析和评价,并有充分的证据;
4) 受审核方对一体化管理进行了有效的持续改进;
5) 受审核方是否识别并遵守了相关的法律法规;
6) 受审核方有充足的资源保障二阶段审核的进行;
疫情防控期间一阶段审核时,审核组通过对受审核方提交的自评价信息进行评审,获取一阶段审核需要的信息,对于无法从自评价信息中获取的信息,审核组通过远程审核工具进行信息获取,以确保完成一阶段审核。
特殊情况下,因疫情防控需要的,必须进行现场审核时,经中心分管理领导批准后,在确保审核组人员安全的前提下,进行安排。
本文来源:https://www.2haoxitong.net/k/doc/21731ebab72acfc789eb172ded630b1c58ee9b3e.html
文档为doc格式