申请方|信息安全服务资质认证---初次认证和监督_犯罪团伙|安全|cnt|漏洞|运营商

信息安全服务资质认证---初次认证和监督

文章插图
初次认证
认证申请
中心应要求申请方的授权代表至少提供以下必要的信息：

1) 认证申请书，包括但不限于以下内容：

a．申请方基本信息，包括业务活动、组织架构、联系人信息、物理位置、服务和申请级别等基本内容；

b．法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书，组织代码证和税务登记证（如果有）)；独立法人实体的一部分，经法人批准成立，法人实体能为申请人开展的活动承担相关的法律责任。

c．业务运行的时间；

d．取得相关法规规定的行政许可文件(适用时)。

2) 自评估表，包括但不限于：

a．组织根据认证依据所进行的符合性评价；

b．评价结论所需要的证据材料。

监督审核

频次和方式

对获证组织实施监督审核，每年度（不超过12个月）进行一次监督审核。对于初次获证组织，

需要在12个月内进行现场监督审核。

对于第一次现场监督审核后，项目管理人员根据上一次认证审核结果，获证方在下次监督审核前可提交各服务方向的自评估材料和（或）公共管理部分的自评估材料。

对于信誉良好的获证组织，信任度级别高，可以根据实际情况延长监督的频次和灵活运用监督的方式。
当获证组织发生重大变更、事故、信任度级别低以下或客户投诉时，可增加现场监督评估的频次。
监督的方式包括非现场监督审核和现场监督审核两种方式。

信息收集

在进行监督审核之前，中心需要收集获证组织的安全服务管理与安全服务能力的相关信息，以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。需要客户提供的信息包括以下几个方面：

1) 信息确认文件，包括但不限于：

a．基本信息，包括组织名称、地址、联系人、法人等信息的变化情况；

b．组织信息：包括范围、组织架构、人员数量等信息的变化情况；

c．服务管理体系相关信息，关键文件化信息的变化情况。

2) 自评估信息：包括但不限于： a．安全服务管理运行情况，包括运行说明和运行证据； b．安全服务管理监视、测量、分析和评价的结果和证据； c．安全服务管理运行的持续改进情况，包括改进说明和证据； d．满足法律法规的情况说明； e．对安全服务管理符合性的自我评价。

制定审核计划

审核组应结合获证组织的信息确认文件、自评估信息、审核方案对监督审核的策划和前一次审核的结果对现场审核做出具体安排，包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排、现场见证和会议的安排。

审核组长应至少在实施审核5个工作日之前，与获证组织就审核计划进行充分沟通，确保双方没有歧义。

监督审核并不覆盖认证依据所有条款，监督审核的抽样采取抽样的方式进行

抽样准则为：

1) 两次监督审核必须覆盖标准所有条款和所有部门；
【申请方|信息安全服务资质认证---初次认证和监督】
2) 标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到；

3) 获证组织前一次审核问题较多的条款在本次监督审核中需要抽到；