信息安全服务资质认证实施规则
CCRC-ISV-R01:2022
1 适用范围
本规则适用于信息安全服务资质认证活动。
2 认证依据标准
CCRC-ISV-C01《信息安全服务规范》。
3 基本认证模式
初始现场审核+监督审核。
4 认证单元划分
不同的信息安全服务提供者、信息安全服务类别应划分为不同的认证单元。
5 认证级别
信息安全服务资质认证级别分为一级、二级、三级共 3 个级别,其中一级最高。
6 认证基本环节
1)申请评审
2)初始现场审核
3)复核
4)认证决定
5)监督审核
7 认证程序
7.1 申请评审
- 7.1.1 认证委托
认证委托人可通过电话、信函、传真、邮件或登录中国网络安全审查技术与认证中心(以下简称“网安中心”)网站的业务管理系统提交申请,并提供认证申请书及相关附件,附件包括但不限于:
1)信息安全服务提供者的社会统一机构代码营业执照或其他证明性文件;
2)信息安全服务提供者的组织架构图;
3)信息安全服务提供者的专职技术人员名单(包括技术负责人、技术人员等);
4)信息安全服务类别的技术规范。
申请不同服务类别、级别时,不重复提供以上附件内容,仅提供差异部分。
- 7.1.2 申请评审
网安中心对认证委托人提交的认证申请书等资料进行评审,根据评审结果发出受理通知或问题通知。认证委托人收到问题通知后,将改进情况反馈给网安中心。对于仍不符合受理要求的申请,网安中心再次发出问题通知。
- 7.1.3 认证方案策划
网安中心策划认证方案。认证方案至少包括以下内容:
1)单元划分结果;
2)明确是否需要初始现场审核;
3)明确网安中心联系人和联系方式;
4)预计认证流程周期;
5)预计认证费用。
7.2 初始现场审核
初始现场审核是指网安中心对同一个信息安全服务提供者的同一场地,按照同一认证标准进行的首次现场审核。
网安中心通知认证委托人进行现场审核,并委派审核组对信息安全服务提供者实施现场审核。
初始现场审核内容为认证依据标准规定的条款。
审核组完成审核任务后,向网安中心提交审核资料。
一个认证单元现场审核按2人日计费,每增加一个认证单元增加0.5人日,以此类推,原则上最多不超过5人日。
原则上,一般不符合项整改验证工作在下一次监督审核进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。
7.3 复 核
网安中心对认证申请相关信息及审核结果进行复核,形成复核结论。复核应由未参与审核过程的网安中心人员承担。
7.4 认证决定
网安中心对认证申请相关信息、复核结果及其他信息进行综合评价,做出认证决定。符合认证要求网安中心将颁发认证证书,不符合认证要求不予颁发认证证书,并通知认证委托人。
7.5 监督审核
- 7.5.1 频次和方式
网安中心委派审核组对信息安全服务提供者进行现场审核,原则上采取事先不通知的方式。监督审核周期不大于12个月。
- 7.5.2 监督实施
一个认证单元监督审核按1人日计费,每增加一个认证单元增加0.25人日,以此类推,原则上最多不超过2.5人日。
监督审核内容为认证依据标准规定的部分条款。
审核组完成审核任务后,向网安中心提交审核资料。
原则上,一般不符合项整改验证工作在下一次监督审核时进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。
- 7.5.3 复 核
网安中心对监督审核相关信息及结果进行复核,形成复核结论。复核应由未参与审核过程的网安中心人员承担。
- 7.5.4 认证决定
网安中心对监督审核相关信息、复核结果及其他信息做出认证决定,符合认证要求保持认证证书,并通知认证委托人;不符合认证要求暂停或撤销认证证书,通知认证委托人,并予以公示。
7.6 特殊监督审核
网安中心可视情况对信息安全服务提供者实施特殊监督审核。
8 认证证书
8.1 认证证书内容
证书内容应至少包括以下方面:
1)认证证书名称;
2)证书编号;
3)认证委托人名称、地址;
4)信息安全服务提供者名称、地址;
5)认证依据标准;
6)类别和级别;
7)首次颁证日期、发证日期以及证书有效期。
8.2 认证证书管理
- 8.2.1 认证证书的保持
证书有效期为 3 年。在有效期内,证书的有效性依赖网安中心的监督审核获得保持。
证书有效期届满前 30 天内,认证委托人未提出终止使用认证证书,且监督审核结果合格的,网安中心应换发新证书。
- 8.2.2 认证证书的变更
证书内容发生变更时,认证委托人应向网安中心提出变更申请,并按照要求提交相关资料。网安中心进行必要的审核、复核并做出认证决定。
- 8.2.3 认证证书的注销
认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,注销认证证书,通知认证委托人,并予以公示:
1)因自身原因申请注销;
2)认证依据标准、实施规则换版,认证委托人未按时提交换版申请;
3)其他应注销认证证书的情况。
- 8.2.4 认证证书的暂停
认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,暂停认证证书,通知认证委托人,并予以公示:
1)监督结果证明信息安全服务提供者/认证委托人不满足认证要求,但不需要立即撤销认证证书的;
2)逾期未按规定接受监督;
3)违规使用认证证书,且未造成不良影响;
4)因自身原因申请暂停;
5)其他应暂停认证证书的情况。
证书暂停期限最长为3个月。证书暂停期限内,认证委托人可向网安中心提出恢复申请,网安中心进行必要的审核、复核并做出认证决定。
- 8.2.5 认证证书的撤销
认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,撤销其认证证书,通知认证委托人,并予以公示:
1)在认证证书暂停期限届满,认证委托人未提出认证证书恢复申请、未采取整改措施或整改后仍不合格的;
2)因8.2.4 2)条款被暂停认证证书后,仍拒绝接受监督的;
3)违规使用认证证书,造成不良影响;
4)信息安全服务提供者出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
5)其他应撤销证书的情况。
9 认证证书的使用
认证委托人在经营活动中使用认证证书时,应当与认证证书的内容相一致。
10 认证收费
网安中心按照对外公开的有关规定收取认证费用。
11 与技术争议、申诉相关的流程及时限要求
1)认证委托人可通过电话、电子邮件等方式,对于认证环节的技术争议或其他问题向网安中心进行申诉。
2)网安中心收到申诉后,对反映情况和提供资料进行核实。
3)认证委托人对于处理结果仍存在争议时,可在收到处理结果后15个工作日内再次提出争议处理申请。
12 认证责任
1)网安中心遵循国家法律法规、认证实施规则的要求和程序从事认证活动。
2)网安中心及其认证人员根据实施规则做出认证结论,并保证认证结论的客观性、真实性。
3)网安中心向认证委托人出具认证证书,并对认证结果负责。
4)网安中心派遣具备资格的审查员实施审核。审查员应根据网安中心要求,及时有效完成审核任务。网安中心及审查员对审核结论负责。
5)认证委托人应配合网安中心开展认证活动。
6)认证委托人应对提交的认证资料和信息的真实性、合法性负责。当认证信息发生变化时,认证委托人应及时通知网安中心。
