一体化认证实施规则

一体化认证实施规则

CCRC-MS-001:2018

中国网络安全审查技术与认证中心

目录

1.适用范围 (2)

2.认证依据 (2)

3.术语和定义 (2)

3.1.自评价 (2)

3.2.现场审核 (2)

3.3.远程审核 (2)

3.4.现场见证（验证） (3)

3.5.特殊审核 (3)

4.审核类别和审核方式 (3)

5.审核人员及审核组要求 (3)

6.认证信息公开 (3)

7.认证程序 (4)

7.1.初次认证 (4)

7.2.监督审核 (8)

7.3.再认证 (11)

7.4.特殊审核 (11)

7.5.暂停、撤消认证或缩小认证范围 (11)

8.认证证书 (12)

8.1.证书有效期 (12)

8.2.证书内容 (12)

8.3.证书编号 (13)

8.4.对获证组织正确宣传认证结果的控制 (13)

9.对获证组织的信息通报要求及响应 (13)

1.适用范围

本规则用于规范中国信息安全认证中心（简称中心）的一体化管理认证活动，一体化认证涉及信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、质量管理体系、工程建设施工企业质量管理体系、数据中心服务能力成熟度和个人信息安全管理体系。

2.认证依据

信息安全管理体系认证以国家标准GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》为认证依据。

信息技术服务管理体系认证以国家标准ISO/IEC20000-1:2011《信息技术 服务管理 服务管理体系 要求》为认证依据。

业务连续性管理体系认证以国家标准GB/T 30146—2013《公共安全 业务连续性管理体系 要求》为认证依据。

质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》为认证依据。

工程建设施工企业质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》和GB/T50430-2007《工程建设施工企业质量管理规范》为认证依据

金融行业支付机构质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》和CCRC-MS-C01：2018《金融行业支付机构质量管理体系 要求》为认证依据 数据中心服务能力成熟度认证以国家标准GB/T33136-2016《信息技术服务 数据中心服务能力成熟度模型》为认证依据。

个人信息安全管理体系认证以国家标准GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》和GB/T 35273-2017《信息安全技术 个人信息安全规范》为认证依据 3.术语和定义

3.1.自评价

申请组织根据认证依据对自身的服务过程进行符合性评价，并进行评价证据的收集和分析，以确定组织满足认证依据的程度。

3.2.现场审核

中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。

3.3.远程审核

中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动，通常以远程审核工具、电话、视频、邮件等远程审核方式进行。

3.4.现场见证（验证）

现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险而实施的关键活动进行的，是对关键活动的执行过程进行跟踪见证；现场验证是针对关键活动所采取的关键技术进行的，以验证这些技术措施的功能能够得到实现。

3.5.技术验证

技术验证是通过技术手段对受审核方的技术管理是否能达到声称的目的进行验证，包括人工检查和工具检查两种方式，一般应用于对技术依赖程度比较高的领域里，例如电子数据的收集、存储、使用、传输等多个方面。

3.6.特殊审核

扩大认证范围或提前较短时间通知的审核。

4.审核类别和审核方式

审核类别分为初次认证审核，监督审核、再认证审核和特殊审核。

审核方式分为远程审核、现场审核和现场见证（验证）。

5.审核人员、审核组和技术验证实施方要求

认证审核人员必须取得认证注册资格，并得到中心的专业能力评价，以确定其能够胜任所安排的审核任务。

审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。

具有相关管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织一体化管理中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。

技术验证实施方需要有相关资格和技术能力。并得到中心的验证。

6.认证信息公开

中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息：

1)认证服务项目；

2)认证工作程序；

3)认证依据；

4)证书有效期；

5)认证收费标准。

7.认证程序

7.1.初次认证

7.1.1.认证申请

中心应要求申请组织的授权代表至少提供以下必要的信息：

1)认证申请书，包括但不限于以下内容：

a．企业基本信息，包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容

b．法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书，组织代码证和税务登记证（如果有）)；

c．申请认证的范围；

d．一体化管理涉及的管理过程

e．一体化管理运行的时间；

f．取得相关法规规定的行政许可文件(适用时)。

2)自评价信息，包括但不限于：

a．申请组织根据认证依据所进行的符合性评价；

b．申请组织根据中心自评价要求提供自评价的报告及证据材料。

7.1.2.申请评审

中心应根据认证依据、程序等要求，在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录，做出评审结论，以确定：

1)所需要的基本信息都得到提供；

2)申请组织的行业类别和与之相对应的管理过程特性和管理要求；

3)国家对相应行业的管理要求；

4)中心与申请组织之间任何已知的理解差异得到消除；

5)中心有能力并能够实施所申请的认证活动；

6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证

活动的因素；

7)核算并确定审核人日。

中心应建立审核人日确定准则，根据受审核方的规模、特性、业务复杂程度、一体化管理涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日，以确保审核的充