信息安全管理体系认证从业条件和申请材料要求

信息安全管理体系(ISMS)认证从业条件和申请材料要求
一、认证依据
GB/T22080-2008《信息技术安全技术信息安全管理体系要求》。

二、从业条件
1.申请者是国家认监委批准的认证机构，并具有三年以上质量管理体系认证从业资格；
2.有10名以上具备ISMS认证职业资格的专职审核员，专职审核员取得ISMS相关专业学士以上学位。

专职审核员应符合下列条件：
(1)取得国家注册ISMS审核员资格；
(2)是认证机构的正式职员。

3.在一年内没有违法违规行为。

4.与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007《合格评定管理体系审核认证机构的要求》，且在提交申请前两个年度内的认可评审中没有严重不符合项;
5.若申请者是外商投资认证机构，其国外投资者应有三年以上从事ISMS认证的经历且在ISMS认证领域获得所在国家或地区认可机构的认可。

三、申请材料目录
1 申请书及基本条件情况
1.1认证机构申请书（申请扩大认证业务专用，格式见附件1）
1.2企业法人营业执照副本（或事业单位法人证书）
1.3 股东名单及出资额
1.6 办公场所的内部平面图（应标注大致尺寸和面积，管理层人员及各业务部门的办公位置）
1.7 开展认证业务的信息管理系统的简介
1.8已开展认证业务的项目，每个项目发出有效认证证书的数量
1.9获认可机构颁发的认可证书
1.10国家相关部门颁发的保密资质证书(如有则提交)
2 现有组织架构及运行情况
2.1组织结构文件：包含最高管理层和工作部门的组织结构图及各自任务、责任和权力的说明
2.2维护公正性委员会的成员名单及描述该委员会的组成、权限、任务、权利、成员能力和责任的文件
2.3维护公正性委员会最近一次履行职能的记录（如会议纪要等）
2.4 最近一次管理评审及内审报告
2.5认可机构最近一次对申请者评审的报告(获多个认可机构颁发证书的，应包含每个认可机构的评审报告)
3 符合ISMS相关的认证认可要求的管理制度文件
3.1 开展ISMS认证的可行性报告，基本内容应该包含：认证依据概述、国家相关政策及法律法规的要求、认证市场分析、国内外认证现状、申请者技术能力分析及人力资源配备、进入该领域开展认证的优势等
3.3开展ISMS认证的质量手册
3.4 开展ISMS认证的程序文件
3.5 开展ISMS认证的作业指导书
3.6拟签发ISMS认证证书的样本
4 申请者的人员资料
4.1 认证机构管理层人员基本信息表（按附件2的格式填写）
4.2 不少于10人的具有国家注册ISMS认证审核员资格的专职审核员名单（该名单将从《认证认可行政审批在线服务系统》相关页面显示的申请者名下有相应职业资格的人员中点选，确定后自动生成名单）
4.2.1每位专职审核员的身份证(非中国内地居民为就业证)
4.2.2 每位专职审核员的国家注册ISMS认证审核员资格证明
4.2.3 每位专职审核员的劳动合同
4.2.4每位专职审核员是申请者正式职员的证明(写明工作单位是申请者的社会保险凭证、主管人事部门出具的事业单位在编证明或者写明工作单位是申请者的《外国人就业证》或《台港澳人员就业证》)
4.2.5每位专职审核员的专职认证人员声明（按附件3的格式填写）
4.2.6每位专职审核员在ISMS相关专业的学位证书(ISMS相关专业表见附件4)
4.2.7每位专职审核员从事过与信息技术有关的质量管理体系(即质量管理体系认证业务范围分类表中第33大类) 认证的《审核经历证明表》
5 若申请者属于外商投资认证机构，应提交境外投资者的下列文件：（若文件属于中文以外的文字，相关文件需附中文译件）
5.1 境外投资者从事ISMS认证业务三年以上的证明（如三年前颁发的认证证书及相应审核记录资料，或者三年前已获得所在国家或地区的认可机构颁发的涵盖ISMS认证领域的认可证书）
5.2境外投资者获得所在国家或地区的认可机构颁发的涵盖ISMS认证领域的认可证书
5.3 一份境外投资者真实签发的ISMS认证证书彩色影印件
说明：
1.为适应《认证认可行政审批在线服务系统》要求，申请者应把申请材料制作成PDF格式的电子文件，上述材料目录中每个带点的编号项对应一个PDF格式文件(4.2项除外)；一个编号项中包含多份资料的，应制作成一个多页的PDF格式文件；证件或证书类资料的PDF格式文件应保持原件的色彩,申请者在提交申请期间应备好相关原件以备可能的核对。

2.专职审核员属于国有事业单位编制内人员的，申请材料中4.2.3项和4.2.4项中相关内容可用主管人事部门出具的在编证明代替劳动合同和社保证明。

3.专职审核员属于认证机构的出资方派驻人员（境外投资方派驻人员除外）的，申请材料中
4.2.4项中相关内容可以是相关人员属于出资方正式职员的证明(社保凭证或事业单位在编证明)
附件1
认证机构
申请书
网上提交申请编号：
申请事项：扩大认证业务范围
增加(项目名称)
认证机构名称：
填写日期：年月日
声明
1、我们已通过《认证认可行政审批在线服务系统》提交本申请书相应的所有资料。

(申请号： )
2、上述提交的资料均准确真实。

3、我们已经知道，若本申请书的资料有任何虚假，将接受《行政许可法》第七十八条及《认证违法行为处罚暂行规定》第四条相关规定的处罚。

4、我们将严格遵守《中华人民共和国认证认可条例》、《认证机构及认证培训、咨询机构审批登记与监督管理办法》及其他相关文件的规定。

认证机构：（机构名称）（盖章）
法定代表人：（姓名）（签名）
年月日
附件2：
(认证机构名称)管理层人员基本信息
附件3
专职认证人员声明
一、声明人基本信息：
姓名：性别：出生年月：户口所在省市：现居住地：身份证号(非中国内地居民填就业证号):
专职从业的认证机构名称：
国家注册认证审核员/检查员证书号：
声明人通信地址(含邮编)：
办公电话号码：手机号码：
四、认证机构的专职认证人员（审核员/检查员）应符合下列专职要求：
1.应与其工作所在的认证机构签订符合《劳动合同法》规定的劳动合同，是该机构的正式职工,其社会保险事项由该机构按照《社会保险法》的规定办理。

2.除由工作所在认证机构以其社会保险登记证登记和缴纳社会保险费外，专职认证人员不得同时以其他方式登记有另一份社会保险。

3.若不是中国内地居民，应具有《台港澳人员就业证》或者《外国人就业证》。

五、声明：（请划去不适用的内容）
1.本人已经明白专职认证人员应符合的专职要求。

2.本人愿意成为公司(中心)的专职认证人员。

本人已与该单位签订劳动合同，社会保险已登记在该单位名下。

本人别无另外的社保登记。

/本人是该单位的出资方派驻人员，社保手续由出资方办理。

/本人所在认证机构是国家事业单位，本人是事业单位在编人员。

3.本人愿意成为正在申请设立认证机构的公司的专职认证人员。

本人已和原为本人缴纳社保费的工作单位解除劳动关系（相关证明和停止缴纳社保费的凭证见附件）。

本人明白断档的社保费将由该公司补交，若该公司未能登记成立，本人将面临失业风险和认证人员注册证书过期失效的风险。

4.本人保证此书面声明所列的基本信息、简历和从事认证、认证培训或认证咨询工作的经历是由本人填写，内容准确、真实、完整。

本人明白公正和诚信是认证人员从业的基本要求，并且知道审批机关会对本声明的内容进行核查，若有任何虚假，可能面临严肃的行政处罚和（或）从业资格处置。

声明人签字：年月日
附件4：信息安全相关专业涵盖的专业目录
一、教育部《普通高等学校本科专业目录》中有关专业
专业代码专业名称
071201 电子信息科学与技术
071202 微电子学
071203 光信息科学与技术
071205W 信息安全
080603 电子信息工程
080604 通信工程
080605 计算机科学与技术
080606 电子科学与技术
081606 信息对抗技术
110102 信息管理与信息系统
二、教育部《授予博士、硕士学位和培养研究生的学科、专业目录》中有关专业
专业代码专业名称
080903 微电子学与固体电子学
081001 通信与信息系统
081002 信号与信息处理
081020 信息安全
081202 计算机软件与理论
081203 计算机应用技术
110505 密码学



















。