企业管理体系认证实施规则
1、适用范围
本规则用于规范管理体系认证中心/机构的管理体系认证活动,包括:信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、隐私信息管理体系、云服务信息安全管理体系、公有云中个人可识别信息管理体系、质量管理体系、环境管理体系、职业健康安全管理体系等。
2、认证依据
- 信息安全管理体系认证:GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术 信息安全管理体系 要求》
- 信息技术服务管理体系认证:ISO/IEC 20000-1:2018《信息技术服务管理 服务管理体系 要求》
- 业务连续性管理体系认证:GB/T 30146-2013/ISO 22301:2012《公共安全 业务连续性管理体系 要求》
- 隐私信息管理体系认证:GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术 信息安全管理体系 要求》
- 云服务信息安全管理体系认证:GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》
- 公有云中个人可识别信息管理体系认证:以国家标准 GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》
- 质量管理体系认证:GB/T 19001-2016/ISO 9001:2015《质量管理体系 要求》
- 环境管理体系认证:GB/T 24001-2016/ISO 14001:2015《环境管理体系 要求及使用指南》
- 职业健康安全管理体系认证:GB/T 45001-2020/ISO 45001:2018《职业健康安全管理体系 要求及使用指南》。
注:认证依据以国家或国际标准的现行有效版本为准。
3、术语和定义
3.1 现场审核
认证中心指派审核组到受审核组织所在地点进行的审核活动。
3.2 远程审核
应用信息和通信技术(ICT),在受审核活动的实际场所以外任何地点实施的审核。
*注1:ICT是应用技术来收集、存储、检索、处理、分析和发送信息,它包括软件和硬件,例如:智能手机、手持设备、笔记本电脑、台式电脑、无人机、摄像机、可穿戴技术、人工智能及其他。
*注2:远程审核可以是审核人员在受审核方某一场所对其他场所的人员、活动或过程进行的审核,也可以是审核人员不在受审核方场所对受审核方的人员、活动或过程进行的审核。
3.3 特殊审核
扩大认证范围或提前较短时间通知的审核。
4、审核类别和审核方式
审核类别分为初次认证审核(包括一阶段和二阶段审核)、监督审核、再认证审核和特殊审核。
审核方式分为现场审核、远程审核。
5、审核人员、技术专家、审核组要求
- 审核人员必须取得认证注册资格,并得到认证中心的专业能力评价,以确定其能够胜任所安排的审核任务。
- 技术专家必须得到认证中心的专业能力评价,以确定其能够胜任所安排的技术支持工作。
- 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力,技术专家应在审核员的监督下进行工作,可就受审核组织管理中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
6、认证信息公开
认证中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:
- 1)认证服务项目;
- 2)认证工作程序;
- 3)认证依据;
- 4)证书有效期;
- 5)认证收费标准等。
7、认证程序
7.1 初次认证
7.1.1 认证申请
认证中心应要求申请组织的授权代表至少提供以下必要的信息:
认证申请书,包括但不限于以下内容:
- 组织基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容;
- 法律地位资格证明(营业执照、事业单位法人证书或社会团体法人登记证书);
- 申请认证的范围;
- 涉及的管理体系过程;
- 管理体系正式运行的时间、内审时间、管理评审时间;
- 取得相关法规规定的行政许可文件、相关法律法规要求的其他证明文件(适用时);
- 环境管理体系范围涉及生产场所的环境影响登记表、环境评价报告、环境评价批复、环境评价验收报告的复印件,依据企业生产类型不同,对环境影响程度,依据环境评价批复中描述获取环境评价验收报告的复印件。新、改、扩建的建设项目符合环保法规的证明文件,如:环评批复、配套建设的环境保护设施的验收监测报告、验收报告等;
- 职业健康安全管理体系范围涉及易燃、易爆和危险品等,国家有相应的法律法规明确规定需办理安全生产评价要求的,应提供相应的资料的复印件。新、改、扩建的建设项目职业健康安全法规符合性证明文件,如:安评批复及竣工验收、消防验收等。
7.1.2 申请评审
认证中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录,做出评审结论,以确定:
1)所需要的基本信息都得到提供;
2)申请组织的行业类别和与之相对应的业务过程特性和要求;
3)国家对相应行业的管理要求;
4)申请组织管理体系运行时间满三个月,已完成内部审核和管理评审;
5)认证中心与申请组织之间任何已知的理解差异得到消除;
6)认证中心有能力并能够实施所申请的认证活动;
7)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
8)核算并确定审核人日;
9)根据申请认证的活动范围及场所、从事活动的影响、员工人数、完成审核所需时间和其他影响认证活动的因素,综合确定是否有能力受理认证申请。对被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”的申请组织,不予受理其认证申请。
认证中心应建立审核人日确定准则,根据受审核组织的规模、特性、业务复杂程度、管理涵盖的范围、认证要求和其承担的风险以及采取审核方式等因素核算并确定审核人日,以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中。
7.1.3 建立审核方案
在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核组织),并由专职人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质,以及受审核方服务的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:
1)审核方案的目标;
2)审核的范围与程度、数量、类型、持续时间、地点、日程安排,确定审核范围应考虑如下要求:
- 初次认证、再认证审核内容为认证依据的全部条款;
- 监督审核采取抽样的方式进行,两次监督审核必须覆盖标准所有适用条款。
3)审核准则;
4)审核方式;
5)审核组的选择;
6)所需的资源,包括交通和食宿;
7)确定的审核人日;
8)处理保密性、信息安全、健康和安全,以及其它类似事宜。
7.1.4 初次认证审核
- 7.1.4.1 确定审核组
认证中心应依据第 5 章中的审核组组建原则,根据受审核组织的行业、规模和业务复杂程
度组建审核组,指派审核组长。
- 7.1.4.2 制定审核计划
审核组结合受审核组织的申请材料、审核方案对审核的策划以及上一次审核(如果有)的结果,对审核做出具体安排,包括但不限于审核的目的、内容、具体的时间安排、审核组成员对受审核组织按岗位和活动以何种方式进行审核的安排、高层沟通的安排和会议的安排。审核组长应至少在开展审核三个工作日之前,与受审核组织就审核计划进行充分沟通,确保双方没有异议。
- 7.1.4.3 一阶段审核
审核组应对受审核组织开展一阶段审核,以确定:
1)受审核组织的管理体系得到策划和实施;
2)受审核组织的管理体系已运行,并有足够的证据证明其运行情况;
3)受审核组织对运行的管理体系进行了监视、测量、分析和评价,并有充分的证据;
4)受审核组织对管理体系进行了有效的持续改进;
5)受审核组织是否识别并遵守了相关的法律法规;
6)受审核组织有充足的资源保障二阶段审核的进行;
7)收集关于客户的管理范围、过程和场所的必要信息,包括:
- 客户的场所;
- 使用的过程和设备;
- 所建立的控制的水平(特别是客户为多场所时)。
审核组按照审核计划实施一阶段审核,以获取审核需要的信息。
如果一阶段审核发现问题,审核组应开具一阶段审核问题清单,且获得受审核组织确认,并要求受审核组织按整改要求针对发现的问题进行整改并提供整改证据。
审核组长对整改材料进行验证,并确认整改结果。必要时与客户沟通调整二阶段审核计划。
一阶段审核结束后五个工作日内,审核组长完成一阶段审核报告编制工作,并与获证组织进行沟通,确保双方对报告没有异议。
- 7.1.4.4 二阶段审核
审核组按照审核计划的安排对受审核组织进行审核,审核应考虑一阶段审核结果,对受审核组织的管理过程和控制措施的运行情况进行评价,对一阶段审核提出的问题改进情况进行验证。
第二阶段的目的是评价受审核组织管理体系的实施情况,包括有效性。第二阶段覆盖标准的全部条款,包括但不限于以下方面:
a)与适用的管理体系标准或其他规范性文件的要求的符合情况及证据;
b)依据关键绩效目标和指标(与适用的管理体系标准或其他规范性文件的期望一致),对绩效进行的监视、测量、报告和评审;
c)受审核组织管理体系的能力以及在符合适用法律法规要求和合同要求方面的绩效;
d)受审核组织管理过程的运作控制;
e)内部审核和管理评审;
f)针对受审核组织管理方针的管理职责。
如果审核发现不符合项和观察项应开具不符合项报告和观察项报告,且获得受审核组织确认,并要求受审核组织按整改要求针对发现的问题进行整改并提供整改证据,审核组负责对整改情况进行验证。
不符合项整改验证方式有书面验证和现场验证两种。选择验证方式的原则为:
- 对于严重不符合项验证,相应的纠正和纠正措施必须已实施并已证实有效方可接受;
- 对于一般不符合项验证,如可以通过评价受审核方的整改材料证实纠正和纠正措施得以落实和实施,则可选择书面验证方式,否则,应选择现场验证方式,特殊情况下,不能立即实施有效的纠正和采取相应的纠正措施,但需要采取其他一些措施来减轻不符合程度,并制订相应的计划,审核组长应评审受审核组织提出的相应计划,并在下次审核时进行验证;
- 审核组可根据实际情况而确定验证方式。
- 如果在 3 个月内(特殊情况现场验证不超过6个月)受审核方的纠正和纠正措施仍没有被接受,则本次审核无效,不能推荐注册,并书面通知受审核方。
7.1.5 初次认证的审核结论
审核组应对审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
审核组应形成是否推荐认证注册的结论,审核组应根据审核的结果对受审核组织的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐认证注册。
初次审核结束后五个工作日内,审核组长完成审核报告编制工作,并与获证组织进行沟通,确保双方对报告没有异议,并确保报告准确性。
7.1.6 认证决定
认证中心应指派认证决定人员,对受审核组织的认证申请实施认证决定,以决定:
1)同意认证注册,颁发认证证书;
2)补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
3)不同意认证注册,通知受审核组织不同意的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实受审核组织的管理体系得到了建立、实施、运行、监视、评审、保持和改进做出决定。
*注1:参加审核的人员不能再作为认证决定人员实施认证决定。
*注2:受审核组织获得认证注册资格后变更为获证组织。
7.1.7 证书发放
认证中心负责制作证书,将证书、审核报告发放给获证组织。
7.1.8 审核方案记录与变更
审核方案管理人员应收集审核和认证决定的信息,特别是形成的结论和变化的信息,记录到审核方案中。并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.2 监督审核
7.2.1 监督频次
认证中心应在满足认可要求的基础上,根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。当获证组织管理体系发生重大变更,或发生重大问题、业务中断事故、客户投诉等情况时,认证中心视情况可增加监督的频次。
监督审核应至少每个日历年(应进行再认证的年份除外)进行一次,且距前一次审核的认证决定日不超过 12 个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机。
必要情况下,认证中心可采取事先不通知的方式对获证组织进行飞行检查。
7.2.2 监督审核通知
认证中心应提前向获证组织发出监督审核通知,受审核组织按要求填写监督审核通知的回执等相关信息。
7.2.3 信息收集
在进行监督审核之前,中心需要收集获证组织的管理体系相关信息,以确定获证组织的管理体系相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
信息确认文件,包括但不限于:
- 基本信息,包括组织名称、地址、联系人等信息的变化情况;
- 组织信息:包括组织范围、组织架构、人员数量等信息的变化情况;
- 管理体系相关信息,关键文件化信息的变化情况。
7.2.4 信息评审与审核方案维护
项目管理人员应对获证组织的信息确认文件进行评审,以确定:
- 获证组织的管理体系变化情况,尤其是管理范围的变化;
- 是否需要修订审核方案,需要时对审核方案进行维护。
7.2.5 监督审核实施
- 7.2.5.1 确定审核组
同 7.1.4.1。
- 7.2.5.2 制定审核计划
审核组应结合获证组织的信息确认文件、审核方案对监督审核的策划和前一次审核的结果对监督审核做出具体安排,包括但不限于具体的时间安排、审核组各成员按岗位和活动以何种方式对获证组织进行审核的安排、高层沟通的安排和会议的安排。审核组长应至少在实施审核三个工作日之前,与获证组织就审核计划进行充分沟通,确保双方没有异议。
需要抽样时,抽样原则为:
1)两次监督审核必须覆盖标准所有适用条款和所有部门;
2)标准中对管理体系过程有决定作用的条款和部门每次监督审核都需要抽到;
3)获证组织前一次审核问题较多的部门在本次监督审核中需要抽到;
4)审核组认为需关注的条款应考虑进行抽样。
每次监督审核的内容应包括但不限于以下方面:
1)内部审核;
2)管理评审;
3)上次审核中发现的不符合项整改的有效性;
4)上次审核中发现的观察项进行跟踪;
5)投诉的处理;
6)管理体系在实现获证组织管理目标和各管理体系的预期结果方面的有效性;
7)持续的运行控制;
8)持续改进活动;
9)任何变更;
10)证书的使用和(或)任何其他对认证资格的引用。
- 7.2.5.3 监督审核实施
审核组按照审核计划对获证组织进行审核,如审核过程中获证组织的认证范围与策划不一致,应对不一致的部分特别关注,必要时重新确认审核范围、变更审核计划,发生变更时,需向项目管理人员报告说明情况,由项目管理人员会商技术主管确定是否调整审核计划。
如果监督审核发现不符合项和观察项,经沟通获得受审核组织确认,开具不符合项报告和观察项报告。要求受审核组织按整改要求针对发现的问题进行整改并提供整改证据。
审核组负责对整改情况进行验证。具体要求见 7.1.4.4。
7.2.6 监督审核结论
审核组应对收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
审核组应根据监督审核的结果对获证组织的管理体系是否满足适用的认证依据的要求进行评价,并判断是否推荐保持认证注册。
监督审核结束后五个工作日内,审核组长完成审核报告编制工作,并与获证组织进行沟通,确保双方对报告没有异议,并确保报告准确性。
7.2.7 认证决定
认证中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:
1)同意保持认证注册;
2)补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
3)不同意保持认证注册,做出暂停或撤销的决定,通知获证组织不同意保持的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织管理体系得到了建立、实施、运行、监视、评审、保持和改进。
7.2.8 证书发放
认证中心负责制作证书(如需要),将证书、审核报告发放给获证组织。
7.2.9 审核方案记录与变更
同 7.1.8。
7.3 再认证
7.3.1 再认证频次
再认证周期为三年,认证证书有效期满前,中心根据获证组织的申请对获证组织实施再认证审核,以保证管理体系认证证书持续有效。
7.3.2 再认证审核通知
中心应提前向获证组织发出再认证审核通知,受审核组织按要求填写再认证审核通知的回执等相关信息。
7.3.3 信息收集
同 7.2.3。
7.3.4 信息评审与审核方案维护
项目管理人员应对收集的获证组织信息和确认文件进行评审,以确定获证组织的管理变化情况,尤其是管理体系范围的变化,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。
项目管理人员根据信息评审的结果维护审核方案,维护审核方案时应考虑管理体系在最近一个认证周期内的绩效。其它内容参考 7.1.3。
7.3.5 再认证审核
- 7.3.5.1 确定审核组
同 7.1.4.1。
- 7.3.5.2 制定审核计划
审核组应结合获证组织的信息确认文件、审核方案对再认证审核的策划和上一周期审核的结果对审核做出具体安排,包括但不限于具体的时间安排、审核组各成员按岗位和活动以何种方式对获证组织进行审核的安排、高层沟通的安排、审核日程安排和会议的安排。
审核组长应至少在实施审核三个工作日之前,与获证组织就审核计划进行充分沟通,确保双方没有异议。
再认证审核的内容应包括但不限于以下方面:
1)内部审核;
2)管理评审;
3)上一认证周期审核中发现的不符合项整改的有效性;
4)上次审核中发现的观察项进行跟踪;
5)投诉的处理;
6)保持管理体系有效性并改进管理体系,以提高整体绩效的承诺;
7)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;
8)持续的运行控制;
9)持续改进活动;
10)任何变更;
11)标志的使用和(或)任何其他对认证资格的引用。
- 7.3.5.3 审核实施
审核组按照审核计划对获证组织进行审核,如审核过程中获证组织的认证范围与策划不一致,应对不一致的部分特别关注,必要时重新确认审核范围、变更审核计划,发生变更时,需向项目管理人员报告说明情况,由项目管理人员会商技术主管确定是否调整审核计划。
对于管理体系审核,如发现获证组织或其管理体系的运行环境(如法律的变更等)有重大变更时,再认证审核活动需要有单独的第一阶段审核。如果单独实施一阶段审核,再认证审核的方式与初次认证一、二阶段审核方式一致。
如果再认证审核发现不符合项和观察项,经沟通获得受审核组织确认,开具不符合项报告和观察项报告,要求受审核组织按整改要求针对发现的问题进行整改,并提供整改证据。审核组负责对整改情况进行验证。具体要求见 7.1.4.4。
7.3.6 再认证审核结论
审核组应对收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
再认证审核结束,审核组应根据再认证审核结果对获证组织的管理体系管理是否满足所有适用的认证依据的要求进行评价,并判断是否推荐换发证书。
再认证审核结束后五个工作日内,审核组长完成审核报告编制工作,并与获证组织进行沟通,确保双方对报告没有异议,并确保报告准确性。
7.3.7 认证决定
认证中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:
1)同意换发认证证书;
2)补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
3)不同意换发认证证书,通知获证组织不同意换发的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织管理体系得到了建立、实施、运行、监视、评审、保持和改进。
7.3.8 证书发放
认证中心负责制作证书,将证书、审核报告发放给获证组织。
7.3.9 审核方案记录与变更
同 7.1.8。
7.4 特殊审核
7.4.1 变更或扩大认证范围
获证组织申请变更或扩大认证范围时,中心应对获证组织变更或扩大的认证范围进行全部适用条款的审核,最终形成是否同意变更或扩大认证注册范围的决定。变更或扩大认证范围的审核活动可单独进行,也可和对获证组织的监督审核或再认证一起进行,审核方式与监督审核或再认证审核方式一致。
7.4.2 提前较短时间通知的审核
认证中心为调查投诉、对变更做出快速回应或对被暂停认证资格的获证组织进行追踪时,应指派审核组在提前较短时间通知获证组织后对其进行特殊审核。特殊审核原则上以现场审核方式进行,此时:
1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核;
2)由于获证组织缺乏对审核组成员的任命表示反对的机会,中心应在指派审核组时给予更多的关注;
3)审核组应制订审核计划,形成审核结论;
4)中心应根据审核结论作出认证决定。
7.4.3 审核方案记录与变更
同 7.1.8。
7.5 暂停、注销、撤销认证或缩小认证范围
发生以下情况(但不限于)时,认证中心应暂停获证组织的认证资格:
1)获证组织的管理体系持续地或严重地不满足认证要求,包括对管理体系有效性的要求;
2)获证组织不允许按要求的频次实施监督或再认证审核;
3)获证组织不接受或不配合认证认可监督管理部门的监督管理;
4)获证组织主动请求暂停;
5)获证组织违反合同约定等。
证书暂停时间一般为 3 个月,最长不超过 6 个月。
在暂停认证期间,获组织的认证证书暂时无效。认证中心应书面通知获证组织,明确禁止暂停认证期间获证组织继续宣传管理体系认证资格。认证中心应使认证证书的暂停信息可公开获取。
如果获证组织未能在中心规定的时限内解决造成暂停认证的问题,认证中心应撤销其认证或缩小其相应的认证范围。
如果获证组织在认证范围的某些部分持续地或严重地不满足认证要求,认证中心应缩小其认证范围,以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。
获证组织因自身原因申请注销认证证书,认证中心予以注销。
撤销、注销认证和缩小认证范围后,认证中心应书面通知获证组织,要求其归还证书并立即停止使用任何引用相关认证资格的广告材料。
8 认证证书
8.1 证书有效期
管理体系认证证书有效期为三年,每年通过监督审核维持证书的有效性。
8.2 证书内容
认证证书内容至少包括以下方面:
1)认证证书名称,例如:信息安全管理体系认证证书;
2)证书编号;
3)获证组织名称、统一社会信用代码、注册地址、受审核地址和邮政编码;
4)认证依据;
5)通过认证的业务范围;
6)颁证日期、换证日期和证书有效期。如发证日期:2020 年 5 月 1 日,有效期至:2023 年 4 月 30 日,首次发证日期:2017 年 5 月 1 日;
7)认证中心的名称及其标志;
8)认证中心的印章和法定代表人或其授权人的签字;
9)认可标识及认可注册号(适用通过认可的体系)等。
如果认证所覆盖业务(或服务)及其所涉及的过程和覆盖的场所较多,需在证书附件上加以注明。
8.3 证书编号
证书编号规则由中心进行明确规定。
同一个组织的认证范围覆盖多个场所并需要颁发子证书时,在子认证证书编号后加上“-”和序号,如-1(-2,-3,⋯)。
有效期内换发证书,认证证书编号和认证的有效期保持不变。
撤销证书后,原认证证书编号废止,不得再次使用。
8.4 对获证组织正确宣传认证结果的控制
认证中心应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据,同时注明通过认证的业务范围和认证证书编号。在认证证书被暂停期间或撤销后,应收回相应的授权。
不应授权获证组织在产品上使用上述标识,或以表示产品合格的方式使用上述标识。
9 对获证组织的信息通报要求及响应
为确保获证组织的管理体系持续有效,认证中心应要求获证组织建立信息通报制度,及时向认证中心通报以下信息:
1)业务、地点、组织机构变化等情况的信息;
2)顾客重大投诉的相关信息;
3)组织的体系文件和业务重大变化时进行通报;
4)有严重管理体系相关事故的信息,如:发生重大质量事故、信息安全事件、隐私数据泄露事件,环保部门对组织污染物排放监测不合格、发生环境污染事故,安监部门对组织的安全生产检查不合格、发生安全事故等;
5)其他重要信息(视情况)。
认证中心应对上述信息以及收集到的相关公共信息进行分析,视情况采取相应措施,包括增加监督审核频次在内的措施和暂停或撤销认证资格的措施。在发生重大客户投诉等严重情况时,认证中心需立即采取措施。
