S-FN-17-016云服务信息安全管理体系认证实施方案
云服务信息安全管理体系认证实施方案
1 适用范围
本认证方案适用于方圆标志认证集团有限公司(以下简称:CQM)实施云服务信息安全管理体系认证,满足第三方认证制度要求,作为提供认证服务的规范。必要时,在认证合同中补充相关的技术要求。
本认证方案在认证双方签订合同时予以确认和采用。
2 认证模式
CQM首先对受审核方的管理体系进行初次审核,经过评定,确认是否批准认证;通过认证之后,在认证证书的有效期内对获证客户的管理体系进行监督,确认是否持续满足认证要求。
3 认证过程流程图
4 认证申请的基本条件
1) 认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等,可独立申请认证。其他类型的客户,应由具备资格的单位代为申请;应填写《方圆标志管理体系认证申请书》和附件《云服务信息安全管理体系(ISO/IEC 27017)认证申请资料》,多名称客户组织申请管理体系认证时,补充填写《组织结构与认证责任、产品责任必要的表述内容》;
2) 国家、地方或行业有要求时,认证客户具有规定的行政认可文件,其申请认证范围应在法律地位文件和行政认可文件核准的范围内;申请的认证范围不能包括涉及国家安全和机密的内容和场所;
3) 认证客户按相应的管理体系标准建立了文件化的管理体系(含适用性声明),初次认证现场审核前已至少持续稳定运行了3个月,至少已实施一次完整的内审和管理评审或已编制实施计划,并承诺在证书有效期内,持续有效运行管理体系;
4) 认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定,承担与认证有关的法律责任,并有义务协助认证监管部门的监督检查,对有关事项的询问和调查如实提供相关材料和信息;
5) 认证客户在一年内,未发生信息安全泄露事故(包括已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益)或被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”或违反国家相关法规,虚报、瞒报获证所需信息的情况;
6) 认证客户向CQM说明对认证机构资质要求或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并说明是否存在因包含保密性或敏感性信息而不能提供给审核组核查的任何管理体系文件或记录的情况。
7) 组织按照《方圆标志管理体系认证申请书》要求提交申请资料时,受理人员应与申请人进行确认,提交资料是否包含申请组织保密性或敏感性信息。在不影响申请评审和文件审核的前提下认证客户可以对提交资料进行相应的处理,删除其中的保密性或敏感性信息;
8) 认证客户承诺获得CQM认证后,按规定使用认证证书和认证标志和有关信息,不得擅自利用管理体系认证证书的文字、符号误导公众认为其产品或服务通过认证。按合同支付认证费用,并按规定接受监督;
9) 认证客户承诺获得方圆认证后按照CQM要求向CQM通报管理体系变更的
信息和其他可能影响管理体系持续满足认证标准要求的能力的事宜的信息,一般包括:客户及相关方有重大投诉;所提供的信息安全服务被执法监管部门列入“黑名单”;发生信息安全泄露事故、重大事故;相关情况发生变更(包括:法律地位、生产经营状况、组织机构或所有权变更、资质证书变更;法定代表人、最高管理者、管理者代表发生变更;服务的工作场所变更;管理体系覆盖的活动范围变更;管理体系和重要过程的重大变更等);出现影响管理体系运行的其他重要情况;
10)认证审核期间,认证客户能够提供与拟认证范围相关的产品/服务/活动现场。
5 审核实施
5.1 审核准则
认证双方确认的审核依据如下:
a) ISO/IEC 27017:2015 信息技术 安全技术 基于ISO/IEC 27002云服务信息安全控制实施规程;
b) 审核准则还包括受审核方所适用的信息安全方针、目标、适用性声明、程序、标准、法律法规、操作规范、合同要求或行业规范。
5.2 审核过程
5.2.1 初次认证审核
初次认证审核分两个阶段实施:第一阶段和第二阶段。
第一阶段审核的目的是了解受审核方的基本信息、审核管理体系文件,识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题,为第二阶段审核提供关注点。
第二阶段审核的目的是评价受审核方管理体系实施的符合性和有效性。二阶段审核情况需进一步作出详细记录。
审核组对在第一阶段和第二阶段审核中收集的所有信息和证据进行汇总分析,评价审核发现并形成审核结论。
5.2.1.1 第一阶段审核
审核组结合受审核方的管理体系运行目标和体系覆盖活动的专业特点,根据受审核方提供的管理体系文件、体系运作过程、运作场所和现场的具体情况、内部审核与管理评审策划和实施情况,确认受审核方对标准的理解和实施的程度、对目标的实现具有重要影响的关键点、相关的法律法规要求的遵守情况以及管理体系范围,审核第二阶段审核所需资源的配置情况,并与申请方商定第二阶段审核的细节,以确定第二阶段审核安排。云服务信息安全管理体系确认:信息资产、风险分析及不可接受风险处置情况、云服务信息安全服务的项目情况等。
评价组织是否策划和实施了内部审核与管理评审,以及管理体系实施的程度能否证明其已为第二阶段审核做好准备。
如果发生任何将影响管理体系的重要变更,CQM可能将重复整个或部分第一阶段审核。第一阶段审核的结果可能导致推迟或取消第二阶段审核。
5.2.1.2 第二阶段审核
审核组现场评价受审核方管理体系的实施情况,包括符合性和有效性。第二阶段审核至少包括以下方面:
a) 与适用的管理体系标准和其他规范性文件的所有要求的符合情况;
b) 依据关键绩效目标和指标,对绩效进行的监视、测量、报告和评审;
c) 管理体系和绩效中与遵守法律有关的方面;
d) 受审核方过程的运作控制;
e) 管理职责的落实,包括针对方针的管理职责;
f) 为实现总目标而建立的职能层次目标的策划和实现情况;
g) 规范性要求、方针、绩效目标和指标、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系
5.2.1.2.2云服务信息安全管理体系还应包括:
1)基于风险评估和风险处置过程,确定控制目标和控制;
2)所制确定的控制、适用性声明、风险评估和风险处置过程的、信息安全方针、信息安全目标之间的一致性;
3)控制的实施(控制措施),考虑了外部环境、内部环境与相关的风险,以及组织对信息安全过程及控制措施的监视、测量与分析,以确定控制是否得以实施,有效并达到其所规定的目标。
5.2.1.3云服务信息安全管理体系与其他管理体系结合审核
5.2.1.3.1云服务信息安全管理体系文件与其他管理体系文件的整合
客户可将云服务信息安全管理文件与其他管理体系文件(如:信息安全管理体系、质量管理体系等)整合。如果体系文件是结合的,应能清晰地识别出客户的云服务信息安全管理体系。
5.2.1.3.2 管理体系结合审核
云服务信息安全管理与其他管理体系结合审核时,按以下管理要求执行:
a) 对各体系分别界定审核范围。对审核时间的确定、审核方案策划进行有效管理。
b) 审核活动应满足云服务信息安全管理认证所有要求,并且审核质量不应由于结合审核而受到负面影响。在审核报告中应清晰体现所有与云服务信息安全管理有关的重要要素的描述。
5.2.2 监督活动
5.2.2.1 监督活动的方式
CQM采用现场监督审核和日常监督(如关注国家有关部门发布的质量信息公报、关注获证客户相关方的信息、获证客户有关信息的日常跟踪、审查获证客户及其运作的说明、要求获证客户提供文件和记录等)相结合的方式。
5.2.2.2 获证后监督审核的内容
a) 体系保持和任何变更情况(如资源、过程、组织结构、已识别的关键控制点等);
b) 顾客投诉的情况;
c) 涉及变更的范围;
d) 信息安全的《适用性声明》及版本的变化情况;
e) 管理体系实施的有效性;
f) 为持续改进而策划的活动的进展;
g) 针对上次审核中确定的不符合所采取的措施和效果;
h) 证书和标志的使用和(或)任何其他对认证资格的引用;
i) 适当时,其他选定的范围。
获证客户应保存全部投诉记录,需要时提供认证机构。
CQM根据以上信息对获证客户管理体系进行再评价,确认其是否持续满足认证要求。对于监督审核合格的获证组织,作出保持其云服务信息安全管理体系认证资格的决定;否则,应暂停、撤销其相应的认证资格。
监督审核时,如认证客户没有按要求关闭不符合,将可能导致认证证书的暂停。
5.2.2.3 监督审核的频次
在证书有效期内,获证客户须接受监督审核。CQM的云服务信息安全管理体系至少每个日历年(应进行再认证的年份除外)进行一次监督审核,监督审核的最长时间间隔不超过12个月。初次认证和再认证后的第一次监督审核应从认证决定日期起12个月内进行;监督审核的最长时间间隔不超过 15 个月。
由于获证组织的(季节)业务特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的监督审核必须覆盖云服务信息安全管理体系认证范围内的所有业务活动。
获证客户因未在规定的时间内实施监督审核而暂停认证证书的,监督审核恢复后,下次审核时间应按原计划时间计算。
若发生下述情况则需增加监督频次,或安排提前较短时间通知的审核:
a) 获证客户对管理体系进行了重大更改或发生重大问题;
b) 有足够信息表明获证客户发生了组织机构、云服务信息安全服务变更等影响到其认证基础的更改;
c) 获证客户出现信息安全泄露事故或云服务信息安全服务质量事故或用户提出对相关管理体系运行效果的投诉未得到处理时;
d) 其他需要考虑的情况。
5.2.3 再认证
获证客户在证书有效期满前至少三个月,须提出再认证申请。再认证审核的目的是验证作为一个整体的组织管理体系全面的持续符合性和有效性,以及认证范围的持续相关性和适宜性。再认证审核的程序和要求参照5.2.1条实施。
在对获证客户的日常监督中,发现获证客户的出现严重影响管理体系运作的重大变更时,或对获证客户的投诉分析和其他信息表明获证客户不再满足认证要求时,将安排特殊审核或与获证客户商定提前安排再认证审核。
再认证审核还需关注云服务信息安全管理体系在认证周期内的绩效,包括调阅以前的监督审核报告。
对于多场所或结合审核的认证,再认证审核应确保现场审核具有足够的覆盖范围,以提供对云服务安全管理体系和信息安全管理体系认证的信任。
再认证时通常可不进行一阶段审核,但当获证客户的管理体系和获证客户的内外部运作环境有重大变化时,再认证审核活动可能需要有第一阶段审核。
再认证审核时,认证客户应在当前认证证书到期前接受CQM审核,并对于审核组开具的不符合在规定的时间内按要求关闭。否则,因认证客户的原因导致CQM不能在原认证证书到期后6个月内作出认证决定的,再认证审核失效。
5.2.4 特殊审核
5.2.4.1 扩大认证范围审核
针对已获证的客户,CQM对扩大认证范围的申请进行评审,确定能否予以扩大的决定所需的审核活动,这一工作可与监督审核同时进行。
5.2.4.2 提前较短时间通知的审核
为调查投诉、对变更做出回应或对被暂停的认证客户进行追踪,需要在提前较短时间通知获证客户后对其进行的审核。
1)向获证客户说明并使其提前了解将在何种条件下进行此类审核;
2)指派具有丰富经验的审核员组成审核组。
5.3 现场审核活动实施
审核组在现场审核前与受审核方沟通,确认审核安排,说明首末次会议议程。
审核组按照审核计划中日程安排实施审核,通过查阅受审核方的文件和记录、与过程和活动的岗位人员面谈、座谈、观察服务形成过程和活动等适当方法,抽样收集并验证有关的信息,必要时,进行技术测试,形成审核发现,确认审核情况。
在审核过程中,审核组及时与受审核方沟通,通报审核进程,确认审核证据,解决分歧。当审核发现表明不能达到审核目的时,应说明理由,商定后续措施。如果需要改变审核目的和范围或终止审核时,应经审核派出机构评审和批准后实施。
审核组长在现场审核结束前,与受审核方沟通现场审核的信息,请受审核方对发现的问题和不符合报告进行确认,并商定对不符合的后续措施的安排,确认审核结论。审核组编制审核报告并提交受审核方。
审核报告属CQM所有,如果在审核后续活动中(含CQM进行认证决定期间)有所更改,CQM将重新向受审核方提供审核报告。请受审核方妥善保管审核报告、不符合报告及其纠正材料等相应材料。
6 认证的批准、拒绝、保持、扩大、缩小、暂停、恢复和撤销的条件和程序
6.1 批准认证范围的条件和程序
6.1.1 批准认证注册的条件
a) 认证客户的申请材料真实、准确、有效;
b) 认证客户建立和实施的相关管理体系符合认证标准/规范性文件要求,审核组提出推荐认证的结论意见;
c) 认证客户申请认证范围在法律地位文件和资质规定的范围内;
d) 国家或地方或行业有要求时,认证客户申请认证范围内的组织单元、服务及其过程和活动已满足适用的法律法规的要求;
e) 审核证据表明管理评审和内部审核的安排已实施、有效且得到保持,并已进行了一次覆盖管理体系所有要求的完整内部审核;
f) 审核中发现的不合格在规定期限内已经采取纠正/纠正措施,经CQM验证有效。
g) 至少近一年来,认证客户申请认证范围内未发生信息安全泄露事故或国家检查不合格;
h) 认证客户已与方圆签署认证合同,承诺始终遵守认证的有关规定,并按照认证合同规定缴纳认证费用。
6.1.2 批准认证资格的程序
a) CQM向认证客户提供认证有关信息的公开文件,使其知悉并理解;
b) 认证客户向CQM正式提交认证申请书和相关附件;
c) CQM根据客户申请信息进行申请评审,并已确认受理认证申请;
d) 满足6.1.1批准认证资格的条件,经CQM审定,认为认证客户在认证范围内已满足批准认证资格的条件,同意批准认证;
e) CQM向认证客户颁发认证证书,要求获证方按规定使用认证标志。
6.2 拒绝认证注册的条件和程序
6.2.1 拒绝认证资格的条件
a) 认证客户信息未通过CQM的申请评审,评审为不予受理认证申请;
b) CQM审核组现场审核结论为“不推荐认证注册”;
c) 初次认证第二阶段后,认证客户未在规定的时间内按要求关闭不符合,或未按规定接受CQM再次实施的二阶段审核;
d) 再认证审核后,认证客户未在规定的时间内按要求关闭不符合(包括CQM审定提出的不符合);;
e) 除以上情况外,CQM的审定结论为不予认证注册。
6.2.2 拒绝认证注册的程序
a) 符合6.2.1条件之一,经CQM评审为不予受理认证或认证客户的管理体系不满足批准认证资格条件;
b) CQM向认证客户发出《不予认证注册通知》。
6.3 保持认证资格的条件和程序
6.3.1 保持认证资格的条件
a) 获证客户的法律地位、行政许可文件持续符合国家的最新要求,并且认证范围在法律地位文件和行政许可文件规定的范围内;
b) 获证客户持续遵守认证有关的规定,包括变更的规定;
c) 获证客户在认证范围内的组织单元、服务及其过程和活动持续满足适用的最新法律法规的要求,如发生不满足时及时采取有效的措施;
d) 获证客户于获证期内,认证范围内涉及的服务/活动未发生重大事故和国家检查不合格;
e) 获证客户在获证期间未发生误用认证证书和认证标志,如有发生能及时有效地采取纠正和纠正措施,并将误用产生的影响降至最少程度;
f) 获证客户对顾客或相关方的重大投诉和关切能及时有效地处理;
g) 获证客户能按照CQM要求及时通报管理体系和重要过程变更等信息;
h) 按时接受监督审核,经现场审核获证客户的管理体系持续符合认证标准/规范性文件要求,审核组结论为“保持认证”;
i) 获证客户履行与CQM签署认证合同中规定的责任和义务,并按照认证合同规定缴纳认证费用。
6.3.2 保持认证资格的程序
a) 满足6.3.1保持认证资格的条件,监督审核后,经CQM派出的审核组长确认和CQM审查后认为获证客户在认证范围内能持续满足保持认证资格的条件,同意保持认证资格,由CQM签发确认证书并向获证客户发放;
b) 在认证证书有效期内如有认证要求变更,获证客户接受变更的认证要求,并经CQM验证在认证范围内管理体系满足变更的要求,可保持认证资格。
6.4 扩大认证范围的条件和程序
6.4.1 扩大认证范围的分类
a) 获证客户名称增加、固定分场所增加、服务点增加;
b) 服务类别增加;
c) 服务形成主要过程增加,如软件设计开发服务、软件测试服务。
6.4.2 扩大认证范围的条件
a) 获证客户保持认证资格有效。
b) 获证客户申请扩大的认证范围在法律地位文件范围内。国家、地方或行业有要求时,获证客户拟扩大的认证范围具有有效的行政许可文件;
c) 国家或地方或行业有要求时,获证客户在申请扩大认证范围内的组织单元、产品、服务及其过程和活动,已满足适用的法律法规的要求;
d) 获证客户的管理体系覆盖申请扩大的认证范围,并符合认证标准/规范性文件要求;
e) 获证客户按照认证规定缴纳补充认证费用。
6.4.3 扩大认证范围的程序
a) CQM向获证客户提供与扩大认证范围有关信息的公开文件,获证客户知悉并理解;
b) 获证客户向CQM正式提交扩大认证范围的申请和相关附件;
c) 需要时,获证客户与CQM补充签署或修订认证合同,并按照规定补充缴纳认证费用;
d) 满足6.4.1扩大认证范围的条件,经CQM审核、审定,认为获证客户在申请扩大认证范围内已满足批准认证资格的条件,同意批准扩大认证范围,认证证书的注册号和有效期保持不变;
e) CQM向获证客户送交新认证证书,同时收回原证书。
6.5 缩小认证范围的条件和程序
6.5.1 缩小认证范围的分类
a) 获证客户固定分场所、服务网点缩小;
b) 服务类别减少;
c) 服务形成主要过程减少,如软件设计开发服务、软件测试服务;
d) 多个组织认证减少组织数量。
6.5.2 缩小认证范围的条件
a) 获证客户认证范围内部分产品/服务、区域等不再符合认证标准/规范性文件和其他要求;
b) 获证客户不愿再继续保持认证范围内的部分服务、区域等认证资格;
c) 获证客户缩小认证范围应不包括为缩小认证风险的情况。
d) 如果获证客户在认证范围的某些部分持续地或严重地不满足认证要求,CQM将缩小其管理体系认证范围。以排除部门组要求的部分。认证范围的缩小应与认证标准的要求保持一致。
6.5.3 缩小认证范围的程序
a) 获证客户向CQM正式提交缩小认证范围的申请,或CQM提出缩小获证客户认证范围的建议,并提供理由和证据。CQM的审定意见和日常监督结果也可作为认证范围缩小的信息来源和理由,经认证双方沟通后达成一致意见;
b) 需要时,获证客户应与CQM修订认证合同;
c) 经CQM审定,认为获证客户在申请缩小认证范围不会对仍保持的认证范围产生影响,同意批准缩小认证范围,收回原认证证书,换发认证证书或附件,认证证书的注册号和有效期保持不变。
6.6 变更认证信息的条件和程序
6.6.1变更认证信息的条件和分类
6.6.1.1变更认证信息的条件
在认证证书有效内,获证客户因信息发生变更,导致与认证证书信息不一致时,应予以更新。
6.6.1.2变更认证信息的分类:
a) 获证客户名称、住所变更;
b) 认证地址变更;
c) 地名、邮编变更;
d) 企业人数变更,证书编号变更;
e) 证书范围中的服务、活动的变更(含临时服务场所)。
6.6.2变更认证信息的程序
6.6.2.1认证信息的变更需提交的资料
6.6.2.1.1获证客户名称、住所变更应提交的资料
a) 获证客户的书面变更申请;
b) 获证客户是企业的,提供工商行政主管部门的变更核准证明及新营业执照复印件;其他性质的获证客户提供允许其设立的政府行政主管部门的相关文件;
c) 对于因改制、企业重组引起的名称变更,获证客户不能获得名称变更核准证明时,应提交组织以原名称和现名称名义的更名申请、政府有关部门的批文和原名称注销证明;并需因管理体系发生重大变更接受CQM的一次监督审核和审定;
d) 有行政许可、资质等要求的获证客户,还应提供按新名称变更后的有关文件。
6.6.2.1.2认证地址变更需要提交的资料
a) 获证客户的书面变更申请;
b) 有行政许可、资质等要求的获证客户,还应提供按新地址变更后的法规要求的有关文件。
6.6.2.1.3 地名、邮编变更需要提交的资料
a) 获证客户的书面变更申请;
b) 当地政府的相关证明;
c) 对有行政许可、资质等要求的获证客户,还应提供按新地址变更后的有关文件。
6.6.2.1.4企业增加人数,证书编号变更需要提交的资料
获证客户提出企业增加人数时,需提交变更企业人数和证书编号的书面申请。
6.6.2.1.5 证书范围中的服务、活动的变更需要提交的资料
a) 获证客户的书面变更申请;
a) 对有行政许可、资质等要求的认证范围,还应提供相应文件复印件。
6.6.2.2 认证信息变更的办理流程
a) 获证客户根据6.6.1要求向CQM正式提交满足6.6.2.1要求的申请和相关文件资料;
b) 需要时,获证客户应接受CQM的审核;
c) 经CQM审定,认为获证客户满足认证信息变更的条件,同意批准认证信息变更;
d) CQM收回原认证证书,换发认证证书或附件,认证证书的有效期保持不变。
6.7 暂停认证资格的条件和程序
6.7.1 暂停认证资格的条件
符合下列条件之一的获证客户,CQM将暂停其认证证书:
--获证客户管理及服务体系持续或严重不满足认证要求,包括对管理体系运行的有效性要求。
a)获证客户的管理体系发生重大变更,不能持续符合认证标准/规范性文件要求;
b)获证客户监督审核期间发生严重影响体系运行的情况;
c)获证客户在认证范围内的组织单元、服务及其过程和活动不能满足适用的最新法律法规和标准的要求,并未采取措施或措施无效;
d)获证客户未按照认证要求的变更做出相应调整,或调整不满足变更要求;
--获证客户不承担、履行认证合同约定的责任和义务。
a)获证客户未能在规定的期限内接受监督或再认证审核;
b)获证客户未履行与CQM签署认证合同中规定的责任和义务,并对保持认证资格产生重大影响;
c)获证客户未按照认证合同规定缴纳认证费用;
d)获证客户在获证期间发生误用认证证书和认证标志,并未能及时有效地采取纠正和纠正措施,以将产生的影响降至最少程度。
--获证客户在证书有效期间受到相关执法监管部门处罚。
a) 获证客户未按要求对信息进行通报。
--获证客户被地方认证监管部门发现体系运行存在问题。
a)获证客户于获证期间在认证范围内发生国家抽检不合格,并未查明原因和采取补救措施。
--获证客户持有的行政许可证明、资质证书、强制性认证证书等过期失效,重新提交的申请已被受理但尚未换证。
a)获证客户的法律地位、资质不再符合国家的最新要求;
b)获证客户的认证范围已不在现行有效的法律地位文件和资质规定的范围内,但仍有可能在短期内符合规定要求。
--获证客户不接受或不配合认证认可监督管理部门的监督管理;
--获证客户主动请求暂停。
--获证客户发生了与信息安全泄露事故的重大事故,反映出获证客户的体系建立及运行存在重大缺陷。
a)获证客户于获证期间在认证范围内发生重大事故被媒体曝光、或未查明原因和采取补救措施;
b)获证客户服务出现严重波动,未采取措施。
--其他原因需要暂停证书。
6.7.2 暂停认证资格的程序
a) CQM提出对获证客户暂停全部或部分认证范围内认证资格的建议,并提供理由和证据,或由获证客户向CQM提出暂停认证资格的申请;
b) 必要时,CQM与获证客户沟通,核实证据;
c) 经CQM审定,认为获证客户在认证范围内全部或部分不再持续满足认证要求,但仍然有可能在短期内采取纠正措施的,同意批准暂停全部或部分认证范围的认证资格,并确定暂停期限,向获证客户颁发《认证处置决定通知书》并公告;
d) 获证客户按照《管理体系认证证书和认证标志、认可标识使用规则》停止使用认证证书和认证标志, 在暂停期间,客户的管理体系认证暂时无效。
6.7.3暂停期限
认证资格暂停期最长不超过6个月。
6.8 恢复认证资格的条件和程序
6.8.1 恢复认证资格的条件
获证客户已针对暂停认证资格的原因采取了有效的纠正措施,产生原因已经消除,认证资格的恢复符合相关的认证要求,同时已证实在暂停期内没有使用、引用认证资格(如广告宣传)和使用认证标志。
6.8.2 恢复认证资格的程序
a) 在确定的认证资格暂停限期结束前,根据暂停原因,获证客户在规定期限内向CQM提出恢复认证资格的《恢复使用认证证书和认证标志的申请书》;
b) 需要时,获证客户应提交相关纠正措施和有效性验证材料;
c) 经CQM审定,确认获证客户在暂停认证资格的认证范围内已恢复符合相关的认证要求,作出同意恢复认证资格的结论,颁发《恢复使用认证证书和标志的通知》并公告。
6.9 撤销认证资格的条件和程序
6.9.1 撤销认证资格的条件
符合下列条件之一的获证客户,CQM将撤销其认证证书:
--获证客户审核未通过。
--获证客户被注销或撤销法律地位证明文件。
a) 获证客户的法律地位、资质不再符合国家的最新要求;
--获证客户拒绝配合认证监管部门实施的监督检查,或者对有关事项的询问和调查提供了虚假材料或信息。
--获证客户出现重大的信息安全泄露事故等,经执法监管部门确认是获证客户违规造成。
a) 获证客户于获证期间在认证范围内发生国家抽检不合格,并造成严重影响。
--获证客户在证书有效期间有其他严重违反法律法规行为,受到相关执法监管部门处罚。
--获证客户暂停认证证书的期限已满但导致暂停的问题未得到解决或纠正(包括持有的行政许可证明、资质证书、强制性认证证书等已经过期失效但申请未获批准)。
--获证客户没有运行管理体系或者已不具备运行条件。
a)获证客户在认证范围内的管理体系发生重大变更,未向CQM通报,并在短期内无法满足认证要求;
b) 获证客户体制变更后原管理体系已不再适宜;
c) 获证客户不再进行体系覆盖内的云服务信息安全服务;
d) 获证客户在认证范围内的组织单元、服务及其过程和活动严重不能满足适用的最新法律法规和标准的要求,并在短期内无法采取措施或采取措施无效的;
e)获证客户停业或关闭的。
--获证客户不按相关规定正确引用和宣传获得的认证信息,造成严重影响或后果,或者认证机构已要求其纠正但超过2个月仍未纠正。
a) 获证客户在获证期间发生大量误用认证证书和认证标志,并未能及时有效地采取纠正和纠正措施,误导消费者,影响面大;
b) 获证客户转让认证证书和认证标志;
--获证客户发生了与信息安全泄露事故,反映出获证客户的体系建立及运行存在重大缺陷。
--获证客户因换发新证而撤销旧证书。
--获证客户不承担、履行认证合同约定的责任和义务。
a) 获证客户单方面宣布不履行与CQM签署认证合同中规定的责任和义务的;
b) 获证客户长期拖缴认证费用,并催缴无效的;
c) 经核实获证客户提供虚假信息,且影响了审核、认证决定的有效性的;
d) 获证客户更换认证机构的(未书面告知CQM的);
e) 获证客户对顾客或相关方的重大投诉不做处理的。
--获证客户主动放弃认证。
--其他原因需要撤销证书。
6.9.2 撤销认证资格的程序
经CQM核实与审定,确认获证客户在认证范围内的管理体系不再满足认证要求,作出撤销认证资格的结论,发放《认证处置决定通知书》并公告,同时收回认证证书,认证客户不得再使用认证证书和认证标志。
7 认证证书和认证标志
7.1 认证证书和认证标志
7.1.1 认证证书
初次认证认证证书有效期最长为3年。再认证的认证证书有效期不超过最近一次有效认证证书截止期再加3年,但再认证的认证证书有效期最长不超过42个月。如获证客户要求继续使用认证证书,应在证书有效期内接受再认证。
7.1.2 认证标志
按CQM《管理体系认证证书和认证标志、认可标识使用规则》要求执行。
7.2 认证证书和认证标志的使用
获证客户应建立认证证书和认证标志的使用方案,获证后按照《管理体系认证证书和认证标志、认可标识使用规则》正确使用认证证书和认证标志。
7.3 认证证书和认证标志的误用
获证客户误用认证证书和认证标志,可能导致认证资格的暂停或撤销。误用认证证书和标志的类型及对误用认证证书和标志的处理见《管理体系管理体系认证证书和认证标志、认可标识使用规则》中规定。
获证客户一旦发现误用认证证书或认证标志,应立即采取纠正措施,并报告方圆审核管理部门。
8 获证客户的信息通报
获证客户应建立向方圆通报最新信息的程序,并及时通报其重大投诉、国家监督检查结果、重大事故及获证客户变更的各种信息等。变更信息包括(但不限于)以下:
a) 组织名称,组织法人,隶属关系;
b) 联系人,联系方式(包括:电话、传真、手机);
c) 组织地址(包括:注册地址、认证地址、邮编);
d) 体系覆盖人数;
e) 认证范围变化;
f) 组织机构和职能分配;
g) 组织认证场所/服务点的增加;
h) 管理体系文件
i) 适用性声明及其版本的变化;
j) 云服务标准的变化;
k) 商标等信息。
8.1向CQM通报以下信息的要求:
1)业务、地点、组织结构变化等情况的信息(及时通报);
2)顾客投诉的相关信息;
3)认证客户的体系文件信息的变化;
4)有严重信息安全事故(包括已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益)的信息(及时通报);
5)其他重要信息。(视情况)
当上述信息发生变更时,获证客户应填写《获证组织认证信息变更沟通单》,并及时反馈给CQM。变更信息反馈渠道及联系信息详见《获证组织认证信息变更沟通单》中的联系方式。
监督审核前,通过《监督审核通知单》回执及附件将企业参与服务提供的其他方数量变化信息,服务点变化信息填写在申请书附录里通报CQM。
9 认证要求变更的条件和程序
9.1 认证要求变更的条件
a) 获证客户保持认证资格有效;
b) 认证要求变更应在规定的时间前完成;
c) 申请认证要求变更的获证客户应提交认证要求变更需求申请,并提交按新的认证要求进行体系调整的证据;
d) 获证客户的管理体系已满足新的认证要求,且已正常运行。
9.2 认证要求变更的程序
a) 在认证要求变更转换期结束前,获证客户向CQM提出认证要求变更申请;提出申请日期宜在转换期截止前至少90天;
b) CQM通过对获证客户实施年度监督审核或再认证审核,或应获证客户要求安排的认证要求变更的专项审核,评审调整后的管理体系对认证要求的符合性、适宜性和有效性;
c) 经CQM审定,认为获证客户已满足批准认证资格的条件,同意批准认证范围,换发认证证书或附件,收回原证书,认证证书的注册号和有效期保持不变。
10 保密
CQM承诺为认证客户保密(提前告知认证客户的需公开信息除外)。对认证客户的保密信息如需公开或向第三方提供时,将拟提供的信息提前通知认证客户(法律限制除外)。
如有证据表明,CQM因认证接触受审核方的商业、技术秘密,而泄露给第三者(法律规定除外),承担相应法律责任。
11 申诉/投诉、争议及处理
对CQM或审核人员违反国家认证法律、法规、认可机构有关规定、缺乏公正性及对认证的评价结果等有异议时,可以向CQM提出申诉、投诉。
CQM将在30日内答复处理情况。
对CQM申诉/投诉和争议的处理有异议时可向中国合格评定国家认可委员会、中国国家认证认可监督管理委员会等有关部门进一步申诉/投诉。
12 费用
实施本方案的费用,按CQM/S-GK-003-(8)《云服务信息安全管理体系认证收费管理规则》执行。
13 公告
对获得认证、暂停、恢复或撤销的认证客户,在CQM网站上公布。
14 附则
本方案由方圆标志认证集团有限公司负责解释。