疫情防控期間

PAGE1發(fā)布日期：2020年02月05日實施日期：2020年02月05日疫情防控期間管理體系與服務認證實施規(guī)則CCRC-MS-001-01:2020中國網(wǎng)絡安全審查技術與認證中心CCRC-MS-001-01：2020疫情防控期間管理體系與服務認證實施規(guī)則發(fā)布日期：2020年2月5日實施日期：2020年2月5日

目錄TOC\o"1-2"\u1. 目的與范圍 22. 認證依據(jù) 23. 術語和定義 23.1. 自評價 23.2. 現(xiàn)場審核 23.3. 遠程審核 34. 審核類別和審核方式 35. 審核人員、審核組要求 36. 認證信息公開 37. 認證程序 37.1. 初次認證 37.2. 監(jiān)督審核 87.3. 再認證 117.4. 暫停、撤消認證或縮小認證范圍 117.5. 證書內(nèi)容 117.6. 對獲證組織正確宣傳認證結(jié)果的控制 128. 對獲證組織的信息通報要求及響應 12

目的與范圍為落實好國家市場總局頒發(fā)的市監(jiān)認證【2020】9號文《市場監(jiān)管總局辦公廳關于在新型冠狀病毒感染肺炎疫情防控期間實施好質(zhì)量認證相關工作的通知》文件精神，確保新型冠狀病毒感染肺炎疫情防控期間中心管理體系、服務認證活動合規(guī)、有效、可持續(xù)，結(jié)合中心實際及風險控制能力，對原認證實施規(guī)則作了優(yōu)化調(diào)整，以確保在疫情防控期間認證工作平穩(wěn)有序順利實施并滿足規(guī)定的要求。本規(guī)則用于規(guī)范中國網(wǎng)絡安全審查技術與認證中心（簡稱中心）新型冠狀病毒感染肺炎疫情防控期間一體化管理認證活動和信息安全服務認證活動，其中一體化認證涉及信息安全管理體系、信息技術服務管理體系、業(yè)務連續(xù)性管理體系、質(zhì)量管理體系、工程建設施工企業(yè)質(zhì)量管理體系、數(shù)據(jù)中心服務能力成熟度。認證依據(jù)信息安全管理體系認證以國家標準GB/T22080-2016《信息技術安全技術信息安全管理體系要求》為認證依據(jù)。信息技術服務管理體系認證以國家標準ISO/IEC20000-1:2011《信息技術服務管理服務管理體系要求》為認證依據(jù)。業(yè)務連續(xù)性管理體系認證以國家標準GB/T30146—2013《公共安全業(yè)務連續(xù)性管理體系要求》為認證依據(jù)。質(zhì)量管理體系認證以國家標準GB/T19001-2016《質(zhì)量管理體系要求》為認證依據(jù)。工程建設施工企業(yè)質(zhì)量管理體系認證以國家標準GB/T19001-2016《質(zhì)量管理體系要求》和GB/T50430-2017《工程建設施工企業(yè)質(zhì)量管理規(guī)范》為認證依據(jù)數(shù)據(jù)中心服務能力成熟度認證以國家標準GB/T33136-2016《信息技術服務數(shù)據(jù)中心服務能力成熟度模型》為認證依據(jù)。信息安全服務認證以CCRC-ISV-C01：2018《信息安全服務規(guī)范》為認證依據(jù)。術語和定義自評價申請組織根據(jù)認證依據(jù)對自身的服務過程進行符合性評價，并進行評價證據(jù)的收集和分析，以確定組織滿足認證依據(jù)的程度?，F(xiàn)場審核中心指派審核組到受審核方或獲證組織所在辦公地點進行的審核活動。遠程審核中心指派的審核組在受審核方或獲證組織所在辦公地點以外進行的審核活動，通常以遠程審核工具、電話、視頻、郵件等遠程審核方式進行。審核類別和審核方式審核類別分為初次認證審核，監(jiān)督審核、再認證審核。審核方式分為遠程審核和現(xiàn)場審核。注：在疫情防控期間，一般不安排審核員到企業(yè)現(xiàn)場實施審核。采取受審方詳細自評價、自評價評審、遠程（視頻）驗證和補充取證、電話交流、電子方式進行審核。對于必須要實施現(xiàn)場審核的，一律進行延期處理。審核人員、審核組要求認證審核人員必須取得認證注冊資格，并得到中心的專業(yè)能力評價，以確定其能夠勝任所安排的審核任務。審核組應由能夠勝任所安排的審核任務的審核人員組成。必要時可以補充技術專家以增強審核組的技術能力。具有與管理體系類別、與信息安全服務類別相關的管理/服務和法規(guī)等方面特定知識的技術專家可以成為審核組成員。技術專家應在審核員的監(jiān)督下進行工作，可就受審核方或獲證組織管理中/信息安全服務過程中技術充分性事宜為審核員提供建議，但技術專家不能作為審核員。認證信息公開中心應向申請認證的社會組織(以下稱申請組織)至少公開以下信息：認證服務項目；認證工作程序；認證依據(jù)；證書有效期；認證收費標準。認證程序初次認證認證申請中心應要求申請組織的授權代表,通過網(wǎng)站以電子方式,至少提供以下必要的信息：認證申請書，按照系統(tǒng)要求填寫提交，包括但不限于企業(yè)基本信息，包括業(yè)務活動、組織架構(gòu)、聯(lián)系人信息、物理位置和體系范圍等基本內(nèi)容法律地位資格證明(工商營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書，組織代碼證和稅務登記證（如果有）)；申請認證的范圍；涉及的管理與服務過程管理體系和服務管理規(guī)范的運行時間；取得相關法規(guī)規(guī)定的行政許可文件(適用時)。自評價信息，包括但不限于：申請組織根據(jù)認證依據(jù)所進行的符合性評價；申請組織根據(jù)中心自評價要求提供自評價記錄表、符合性聲明、自評價涉及的證據(jù)材料。申請評審中心應根據(jù)認證依據(jù)、程序等要求，在三個工作日內(nèi)對申請組織提交的認證申請書及其相關資料，包括申請方自評價記錄表、符合性聲明、自評價涉及的證據(jù)材料,進行評審并保存評審記錄，做出評審結(jié)論，以確定：所需要的基本信息都得到提供；申請組織的行業(yè)類別和與之相對應的管理過程特性和管理要求；國家對相應行業(yè)的管理要求；中心與申請組織之間任何已知的理解差異得到消除；中心有能力并能夠?qū)嵤┧暾埖恼J證活動；申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素；核算并確定審核人日（疫情防控期間審核方式變化后審核人日計算不變）。中心應建立審核人日確定準則，根據(jù)受審核方的規(guī)模、特性、業(yè)務復雜程度、一體化管理涵蓋的范圍/服務認證的類別級別、認證要求和其承擔的風險等因素核算并確定審核人日，以確保審核的充分性和有效性。確定的人日數(shù)記錄在審核方案記錄中。對于認證風險較高或申請方無法提供自評價相關材料或提供不全的應安排現(xiàn)場審核，原則上延期到疫情防控期后三個月內(nèi),特殊情況,因疫情防控需要的,應與申請方進行充分溝通，并經(jīng)中心分管領導批準后,在保證人員安全的情況下實施。建立審核方案在申請評審后，中心應針對申請組織建立審核方案（申請組織變更為受審核方），并由專職人員負責管理審核方案。審核方案的范圍與程度應基于受審核組織的規(guī)模和性質(zhì)，以及受審核一體化管理/服務的性質(zhì)、功能、復雜程度以及成熟度水平。審核方案應包括在規(guī)定的期限內(nèi)有效和高效地組織和實施審核所需的信息和資源，應包括以下內(nèi)容：審核方案的目標;審核的范圍與程度、數(shù)量、類型、持續(xù)時間、地點、日程安排；審核準則；審核方式；審核組的選擇；所需的資源，包括交通和食宿；確定的審核人日；處理保密性、信息安全、健康和安全，以及其它類似事宜。疫情防控期間，審核方式調(diào)整為以下3種：1、在疫情防控期間，對于初次認證、再認證項目，在充分了解其認證必要性和緊迫性后，經(jīng)中心分管領導審核批準后，可以采取詳細自評價、自評價評審、遠程（視頻）驗證和補充取證、電話溝通、電子方式進行審核。2、在疫情防控期間，對于監(jiān)督審核項目，可以采取詳細自評價、自評價評審、遠程（視頻）驗證和補充取證、電話溝通、電子方式進行審核。3、對于經(jīng)申請評審或?qū)徍私M認為需要進行現(xiàn)場審核的，因疫情導致需延期實施現(xiàn)場審核，中心應與企業(yè)進行充分溝通，并達成一致。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排。確定審核組中心應依據(jù)第5章中的審核組組建原則，根據(jù)受審核方的行業(yè)、規(guī)模和業(yè)務復雜程度組建審核組，指派審核組長。管理體系審核一階段審核審核組應對受審核方開展一階段審核，以確定：受審核方的一體化管理得到策劃和實施；受審核方的一體化管理已運行，并有足夠的證據(jù)證明其運行情況；受審核方對運行的一體化管理進行了監(jiān)視、測量、分析和評價，并有充分的證據(jù)；受審核方對一體化管理進行了有效的持續(xù)改進；受審核方是否識別并遵守了相關的法律法規(guī)；受審核方有充足的資源保障二階段審核的進行；疫情防控期間一階段審核時，審核組通過對受審核方提交的自評價信息進行評審，獲取一階段審核需要的信息，對于無法從自評價信息中獲取的信息，審核組通過遠程審核工具進行信息獲取，以確保完成一階段審核。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排。二階段審核二階段審核計劃，審核組結(jié)合受審核方的申請材料、自評價信息、審核方案對二階段審核的策劃以及一階段審核的結(jié)果對二階段審核做出具體安排，包括但不限于時間安排、審核組成員對受審核方按崗位和活動以何種方式進行評價的安排、高層溝通的安排等。審核組長應至少在開展二階段審核3個工作日之前，與受審核方就審核計劃進行充分溝通，確保雙方?jīng)]有歧義。二階段審核審核組按照審核計劃的安排對受審核方進行審核，審核應考慮一階段審核結(jié)果，對受審核方的管理過程和控制措施的運行情況進行評價，對一階段審核提出的問題改進情況進行驗證。二階段審核的內(nèi)容包括但不限于：認證范圍及組織背景(認證審核范圍，組織業(yè)務、組織生存環(huán)境、管理目標和達標計劃)；領導職責（管理承諾，方針，組織的角色、責任和權限）；策劃(應對風險和機會的措施，管理目標和實現(xiàn)計劃)；支持(資源，能力，意識，溝通，文件化信息)；運行(運行的策劃和控制，風險評估，風險處置)；績效評估(監(jiān)視、測量、分析和評價，內(nèi)部審核，管理評審)；改進(不符合和糾正措施，持續(xù)改進)。疫情防控期間二階段審核采取遠程審核的方式進行，在一階段審核的基礎上,通過遠程（視頻）驗證和補充取證、電話溝通、電子方式進行審核。審核結(jié)束后，審核組根據(jù)審核結(jié)果確定是否需要進行現(xiàn)場審核，如果需要進行現(xiàn)場審核，審核組與受審核方溝通,告知暫停審核,非疫情防控需要的,一律待疫情結(jié)束后補充實施。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排。信息安全服務審核審核計劃審核組長應結(jié)合受審核方的申請書/自評估信息、審核方案對審核的策劃做出具體安排，包括但不限于具體的時間安排、審核組成員對受審核方按崗位、活動和評價方式的安排。審核組長應至少在實施審核前與受審核方就審核計劃進行充分溝通，確保雙方在理解上沒有歧義。實施審核審核組長依據(jù)認證依據(jù)和審核要求，對申請方遞交的資料進行審核，必要時輔以電話、視頻、郵件等遠程審核，并出具審核報告。疫情防控期間信息安全服務審核采取遠程審核的方式進行，在企業(yè)應提供自評價報告的基礎上,通過遠程（視頻）驗證和補充取證、電話溝通、電子方式進行審核。審核結(jié)束后，審核組根據(jù)審核結(jié)果確定是否需要進行現(xiàn)場審核，如果需要進行現(xiàn)場審核，審核組與受審核方溝通,告知暫停審核,非疫情防控需要的,一律待疫情結(jié)束后補充實施。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排。初次認證的審核結(jié)論審核組應對各階段審核中收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結(jié)論達成一致。如果審核發(fā)現(xiàn)不符合項和觀察項應開具不符合項報告和觀察項報告，且獲得受審核方認同。審核結(jié)束后審核組應形成是否推薦認證注冊的結(jié)論，審核組應根據(jù)各階段審核的結(jié)果對受審核方的一體化管理/信息安全服務是否滿足所有適用的認證依據(jù)的要求進行評價，并判斷是否推薦認證注冊。對于審核條款不齊全，不符合項未整改合格的和認證風險較高的應建議延期補充現(xiàn)場審核。審核結(jié)束后，3個工作日內(nèi)，審核組長完成審核報告編制工作，并與受審核方進行溝通，確保雙方對報告沒有歧義。認證決定中心應指派認證決定人員，對受審核方的認證申請實施認證決定，以決定：同意認證注冊，頒發(fā)有效期為一年的臨時電子認證證書；補充認證決定所需的信息，包括但不限于申請材料、審核材料,再行決定；特別,對于審核條款不齊全，不符合項未整改合格的和認證風險較高的需要延期補充現(xiàn)場審核的,待現(xiàn)場審核完成后再做決定不同意認證注冊，通知受審核方不同意的理由。認證決定人員實施認證決定時應以認證過程中收集的信息和其他相關信息為基礎，以充分的證據(jù)證實受審核方的一體化管理得到了建立、實施、運行、監(jiān)視、評審、保持和改進做出決定。注1：參加審核的人員不能再作為認證決定人員實施認證決定。注2：受審核方獲得認證注冊資格后變更為獲證組織。審核方案記錄與變更審核方案管理人員應收集一階段審核、二階段審核和認證決定的信息，特別是形成的結(jié)論和變化的信息，記錄到審核方案中。并確定審核方案是否需要進行變更，如需要則更新相應項目內(nèi)容。監(jiān)督審核監(jiān)督情形對于持有證書的客戶,疫情期間應實施監(jiān)督的,采取如下方式處理:自評價加遠程審核,企業(yè)按中心要求提供自評價信息,中心派遣符合資質(zhì)要求的審核組,通過自評價評審和遠程審核模式實施審核;企業(yè)提出申請延期,企業(yè)可在疫情防控期結(jié)束之日起一個月內(nèi)提出監(jiān)督審核,中心將派遣符合資質(zhì)要求的審核組,通過自評價評審和現(xiàn)場審核模式實施審核，延期期間證書保持有效，企業(yè)需要時，中心可以出具證書保持有效證明。信息收集在進行監(jiān)督審核之前，中心需要收集獲證組織的一體化管理/信息安全服務相關信息，以定獲證組織的一體化管理/信息安全服務相關信息是否發(fā)生變化。需要客戶提供的信息包括以下幾個方面：信息確認文件，包括但不限于：基本信息，包括組織名稱、地址、聯(lián)系人、法人等信息的變化情況；組織信息：包括范圍、組織架構(gòu)、人員數(shù)量等信息的變化情況；管理與服務相關信息，關鍵文件化信息的變化情況。自評價信息：包括但不限于：申請組織根據(jù)中心自評價要求提供自評價表及證據(jù)材料。信息評審與審核方案維護項目管理人員應對獲證組織的信息確認文件進行評審，以確定：獲證組織的變化情況；是否需要修訂審核方案，需要時對審核方案進行維護。監(jiān)督審核實施制定審核計劃審核組應結(jié)合獲證組織的信息確認文件、自評價信息、審核方案對監(jiān)督審核的策劃和前一次審核的結(jié)果對審核做出具體安排，包括但不限于具體的時間安排、審核組成員對獲證組織按崗位和活動以何種方式進行評價的安排、高層溝通的安排。審核組長應至少在實施審核3個工作日之前，與獲證組織就審核計劃進行充分溝通，確保雙方?jīng)]有歧義。監(jiān)督審核并不覆蓋標準所有條款，監(jiān)督審核的抽樣采取抽樣的方式進行，抽樣準則為：兩次監(jiān)督審核必須覆蓋標準所有條款和所有部門；標準中對管理過程和服務過程有決定作用的條款和部門每次監(jiān)督審核都需要抽到；獲證組織前一次審核問題較多的部門在本次監(jiān)督審核中需要抽到；審核組認為重要的條款應考慮進行抽樣。每次監(jiān)督審核的內(nèi)容應包括對以下方面：內(nèi)部審核（自評價信息可以替代）和管理評審；對上次審核中確定的不符合采取的措施；投訴的處理；一體化管理和服務在實現(xiàn)獲證客戶目標和各一體化管理和服務的預期結(jié)果方面的有效性；為持續(xù)改進而策劃的活動的進展；持續(xù)的運作控制；任何變更；標志的使用和（或）任何其他對認證資格的引用審核實施審核組按照審核計劃的安排對獲證組織進行審核，由于監(jiān)督審核并不要求覆蓋體系的所有方面，在監(jiān)督審核的策劃過程中，如果獲證組織的認證范圍信息有變化，應對變化的方面進行關注，必要時重新確認審核范圍。疫情防控期間監(jiān)督審核采取遠程審核的方式進行，即采取自評價、自評價評審、遠程（視頻）驗證和補充取證、電話溝通、電子方式進行審核。審核結(jié)束后，審核組根據(jù)審核結(jié)果確定是否需要進行現(xiàn)場審核，如果需要進行現(xiàn)場審核，審核組與受審核方溝通,告知暫停審核,非疫情防控需要的,一律待疫情結(jié)束后補充實施。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排。監(jiān)督審核結(jié)論審核組應對收集的所有信息和證據(jù)進行匯總分析，評價審核發(fā)現(xiàn)并就審核結(jié)論達成一致。如果監(jiān)督審核發(fā)現(xiàn)不符合項和觀察項應開具不符合項報告，且獲得獲證組織認同。監(jiān)督審核結(jié)束，審核組應形成是否推薦保持認證注冊的結(jié)論。對于審核條款不齊全，不符合項未整改合格的和認證風險較高的應建議延期補充現(xiàn)場審核。監(jiān)督審核結(jié)束后，3個工作日內(nèi)，審核組長完成審核報告編制工作，并與獲證組織進行溝通，確保雙方對報告沒有歧義。認證決定中心應指派認證決定人員，對獲證組織的認證申請實施認證決定，以決定：同意保持認證注冊，頒發(fā)認證標志；補充認證決定所需的信息，包括但不限于申請材料、審核材料,再行決定；特別,對于審核條款不齊全，不符合項未整改合格的和認證風險較高的需要延期補充現(xiàn)場審核的,待現(xiàn)場審核完成后再做決定；不同意保持認證注冊，做出暫定或撤銷的決定，通知獲證組織不同意保持的理由。認證決定人員實施認證決定時應以認證過程中收集的信息和其他相關信息為基礎，以充分的證據(jù)證實獲證組織一體化管理得到了建立、實施、運行、監(jiān)視、評審、保持和改進。審核方案記錄與變更審核方案管理人員應收集監(jiān)督審核和認證決定的信息，特別是形成的結(jié)論和變化的信息，記錄到審核方案中。并確定審核方案是否需要進行變更，如需要則更新相應項目內(nèi)容。再認證疫情防控期間應實施再認證的，按如下方式處理：組織通過中心信息系統(tǒng)提交再認證申請，同時按中心要求提交組織自評價信息，中心實施審核方案管理、派遣審核組通過自評價評審和遠程審核方式施再認證的審核，審核結(jié)束后，審核組根據(jù)審核結(jié)果確定是否需要進行現(xiàn)場審核，如果需要進行現(xiàn)場審核，審核組與受審核方溝通,告知暫停審核,非疫情防控需要的,一律待疫情結(jié)束后補充實施。特殊情況下,因疫情防控需要的,必須進行現(xiàn)場審核時，經(jīng)中心分管理領導批準后,在確保審核組人員安全的前提下,進行安排，并按中心認證實施程序?qū)嵤┱J證決定。對于通