S-FN-17-016云服務(wù)信息安全管理體系認(rèn)證實(shí)施方案
云服務(wù)信息安全管理體系認(rèn)證實(shí)施方案
1 適用范圍
本認(rèn)證方案適用于方圓標(biāo)志認(rèn)證集團(tuán)有限公司(以下簡稱:CQM)實(shí)施云服務(wù)信息安全管理體系認(rèn)證,滿足第三方認(rèn)證制度要求,作為提供認(rèn)證服務(wù)的規(guī)范。必要時(shí),在認(rèn)證合同中補(bǔ)充相關(guān)的技術(shù)要求。
本認(rèn)證方案在認(rèn)證雙方簽訂合同時(shí)予以確認(rèn)和采用。
2 認(rèn)證模式
CQM首先對受審核方的管理體系進(jìn)行初次審核,經(jīng)過評定,確認(rèn)是否批準(zhǔn)認(rèn)證;通過認(rèn)證之后,在認(rèn)證證書的有效期內(nèi)對獲證客戶的管理體系進(jìn)行監(jiān)督,確認(rèn)是否持續(xù)滿足認(rèn)證要求。
3 認(rèn)證過程流程圖
4 認(rèn)證申請的基本條件
1) 認(rèn)證客戶具有明確的法律地位,客戶具有企業(yè)營業(yè)執(zhí)照、事業(yè)單位法人證書、社會團(tuán)體登記證書、非企業(yè)法人登記證書、黨政機(jī)關(guān)設(shè)立文件等,可獨(dú)立申請認(rèn)證。其他類型的客戶,應(yīng)由具備資格的單位代為申請;應(yīng)填寫《方圓標(biāo)志管理體系認(rèn)證申請書》和附件《云服務(wù)信息安全管理體系(ISO/IEC 27017)認(rèn)證申請資料》,多名稱客戶組織申請管理體系認(rèn)證時(shí),補(bǔ)充填寫《組織結(jié)構(gòu)與認(rèn)證責(zé)任、產(chǎn)品責(zé)任必要的表述內(nèi)容》;
2) 國家、地方或行業(yè)有要求時(shí),認(rèn)證客戶具有規(guī)定的行政認(rèn)可文件,其申請認(rèn)證范圍應(yīng)在法律地位文件和行政認(rèn)可文件核準(zhǔn)的范圍內(nèi);申請的認(rèn)證范圍不能包括涉及國家安全和機(jī)密的內(nèi)容和場所;
3) 認(rèn)證客戶按相應(yīng)的管理體系標(biāo)準(zhǔn)建立了文件化的管理體系(含適用性聲明),初次認(rèn)證現(xiàn)場審核前已至少持續(xù)穩(wěn)定運(yùn)行了3個(gè)月,至少已實(shí)施一次完整的內(nèi)審和管理評審或已編制實(shí)施計(jì)劃,并承諾在證書有效期內(nèi),持續(xù)有效運(yùn)行管理體系;
4) 認(rèn)證客戶承諾遵守國家的法律、法規(guī)及其他要求,承諾始終遵守認(rèn)證的有關(guān)規(guī)定,承擔(dān)與認(rèn)證有關(guān)的法律責(zé)任,并有義務(wù)協(xié)助認(rèn)證監(jiān)管部門的監(jiān)督檢查,對有關(guān)事項(xiàng)的詢問和調(diào)查如實(shí)提供相關(guān)材料和信息;
5) 認(rèn)證客戶在一年內(nèi),未發(fā)生信息安全泄露事故(包括已經(jīng)或可能嚴(yán)重?fù)p害國家安全、社會秩序、公共利益或獲證客戶及其相關(guān)方的合法權(quán)益)或被執(zhí)法監(jiān)管部門責(zé)令停業(yè)整頓或在全國企業(yè)信用信息公示系統(tǒng)中被列入“嚴(yán)重違法企業(yè)名單”或違反國家相關(guān)法規(guī),虛報(bào)、瞞報(bào)獲證所需信息的情況;
6) 認(rèn)證客戶向CQM說明對認(rèn)證機(jī)構(gòu)資質(zhì)要求或認(rèn)證人員身份背景的要求,以及適用的與保守國家秘密或維護(hù)國家安全有關(guān)的法律法規(guī)要求,并說明是否存在因包含保密性或敏感性信息而不能提供給審核組核查的任何管理體系文件或記錄的情況。
7) 組織按照《方圓標(biāo)志管理體系認(rèn)證申請書》要求提交申請資料時(shí),受理人員應(yīng)與申請人進(jìn)行確認(rèn),提交資料是否包含申請組織保密性或敏感性信息。在不影響申請?jiān)u審和文件審核的前提下認(rèn)證客戶可以對提交資料進(jìn)行相應(yīng)的處理,刪除其中的保密性或敏感性信息;
8) 認(rèn)證客戶承諾獲得CQM認(rèn)證后,按規(guī)定使用認(rèn)證證書和認(rèn)證標(biāo)志和有關(guān)信息,不得擅自利用管理體系認(rèn)證證書的文字、符號誤導(dǎo)公眾認(rèn)為其產(chǎn)品或服務(wù)通過認(rèn)證。按合同支付認(rèn)證費(fèi)用,并按規(guī)定接受監(jiān)督;
9) 認(rèn)證客戶承諾獲得方圓認(rèn)證后按照CQM要求向CQM通報(bào)管理體系變更的
信息和其他可能影響管理體系持續(xù)滿足認(rèn)證標(biāo)準(zhǔn)要求的能力的事宜的信息,一般包括:客戶及相關(guān)方有重大投訴;所提供的信息安全服務(wù)被執(zhí)法監(jiān)管部門列入“黑名單”;發(fā)生信息安全泄露事故、重大事故;相關(guān)情況發(fā)生變更(包括:法律地位、生產(chǎn)經(jīng)營狀況、組織機(jī)構(gòu)或所有權(quán)變更、資質(zhì)證書變更;法定代表人、最高管理者、管理者代表發(fā)生變更;服務(wù)的工作場所變更;管理體系覆蓋的活動范圍變更;管理體系和重要過程的重大變更等);出現(xiàn)影響管理體系運(yùn)行的其他重要情況;
10)認(rèn)證審核期間,認(rèn)證客戶能夠提供與擬認(rèn)證范圍相關(guān)的產(chǎn)品/服務(wù)/活動現(xiàn)場。
5 審核實(shí)施
5.1 審核準(zhǔn)則
認(rèn)證雙方確認(rèn)的審核依據(jù)如下:
a) ISO/IEC 27017:2015 信息技術(shù) 安全技術(shù) 基于ISO/IEC 27002云服務(wù)信息安全控制實(shí)施規(guī)程;
b) 審核準(zhǔn)則還包括受審核方所適用的信息安全方針、目標(biāo)、適用性聲明、程序、標(biāo)準(zhǔn)、法律法規(guī)、操作規(guī)范、合同要求或行業(yè)規(guī)范。
5.2 審核過程
5.2.1 初次認(rèn)證審核
初次認(rèn)證審核分兩個(gè)階段實(shí)施:第一階段和第二階段。
第一階段審核的目的是了解受審核方的基本信息、審核管理體系文件,識別任何引起關(guān)注的、在第二階段審核中可能被判定為不符合的問題,為第二階段審核提供關(guān)注點(diǎn)。
第二階段審核的目的是評價(jià)受審核方管理體系實(shí)施的符合性和有效性。二階段審核情況需進(jìn)一步作出詳細(xì)記錄。
審核組對在第一階段和第二階段審核中收集的所有信息和證據(jù)進(jìn)行匯總分析,評價(jià)審核發(fā)現(xiàn)并形成審核結(jié)論。
5.2.1.1 第一階段審核
審核組結(jié)合受審核方的管理體系運(yùn)行目標(biāo)和體系覆蓋活動的專業(yè)特點(diǎn),根據(jù)受審核方提供的管理體系文件、體系運(yùn)作過程、運(yùn)作場所和現(xiàn)場的具體情況、內(nèi)部審核與管理評審策劃和實(shí)施情況,確認(rèn)受審核方對標(biāo)準(zhǔn)的理解和實(shí)施的程度、對目標(biāo)的實(shí)現(xiàn)具有重要影響的關(guān)鍵點(diǎn)、相關(guān)的法律法規(guī)要求的遵守情況以及管理體系范圍,審核第二階段審核所需資源的配置情況,并與申請方商定第二階段審核的細(xì)節(jié),以確定第二階段審核安排。云服務(wù)信息安全管理體系確認(rèn):信息資產(chǎn)、風(fēng)險(xiǎn)分析及不可接受風(fēng)險(xiǎn)處置情況、云服務(wù)信息安全服務(wù)的項(xiàng)目情況等。
評價(jià)組織是否策劃和實(shí)施了內(nèi)部審核與管理評審,以及管理體系實(shí)施的程度能否證明其已為第二階段審核做好準(zhǔn)備。
如果發(fā)生任何將影響管理體系的重要變更,CQM可能將重復(fù)整個(gè)或部分第一階段審核。第一階段審核的結(jié)果可能導(dǎo)致推遲或取消第二階段審核。
5.2.1.2 第二階段審核
審核組現(xiàn)場評價(jià)受審核方管理體系的實(shí)施情況,包括符合性和有效性。第二階段審核至少包括以下方面:
a) 與適用的管理體系標(biāo)準(zhǔn)和其他規(guī)范性文件的所有要求的符合情況;
b) 依據(jù)關(guān)鍵績效目標(biāo)和指標(biāo),對績效進(jìn)行的監(jiān)視、測量、報(bào)告和評審;
c) 管理體系和績效中與遵守法律有關(guān)的方面;
d) 受審核方過程的運(yùn)作控制;
e) 管理職責(zé)的落實(shí),包括針對方針的管理職責(zé);
f) 為實(shí)現(xiàn)總目標(biāo)而建立的職能層次目標(biāo)的策劃和實(shí)現(xiàn)情況;
g) 規(guī)范性要求、方針、績效目標(biāo)和指標(biāo)、適用的法律要求、職責(zé)、人員能力、運(yùn)作、程序、績效數(shù)據(jù)和內(nèi)部審核發(fā)現(xiàn)及結(jié)論之間的聯(lián)系
5.2.1.2.2云服務(wù)信息安全管理體系還應(yīng)包括:
1)基于風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程,確定控制目標(biāo)和控制;
2)所制確定的控制、適用性聲明、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程的、信息安全方針、信息安全目標(biāo)之間的一致性;
3)控制的實(shí)施(控制措施),考慮了外部環(huán)境、內(nèi)部環(huán)境與相關(guān)的風(fēng)險(xiǎn),以及組織對信息安全過程及控制措施的監(jiān)視、測量與分析,以確定控制是否得以實(shí)施,有效并達(dá)到其所規(guī)定的目標(biāo)。
5.2.1.3云服務(wù)信息安全管理體系與其他管理體系結(jié)合審核
5.2.1.3.1云服務(wù)信息安全管理體系文件與其他管理體系文件的整合
客戶可將云服務(wù)信息安全管理文件與其他管理體系文件(如:信息安全管理體系、質(zhì)量管理體系等)整合。如果體系文件是結(jié)合的,應(yīng)能清晰地識別出客戶的云服務(wù)信息安全管理體系。
5.2.1.3.2 管理體系結(jié)合審核
云服務(wù)信息安全管理與其他管理體系結(jié)合審核時(shí),按以下管理要求執(zhí)行:
a) 對各體系分別界定審核范圍。對審核時(shí)間的確定、審核方案策劃進(jìn)行有效管理。
b) 審核活動應(yīng)滿足云服務(wù)信息安全管理認(rèn)證所有要求,并且審核質(zhì)量不應(yīng)由于結(jié)合審核而受到負(fù)面影響。在審核報(bào)告中應(yīng)清晰體現(xiàn)所有與云服務(wù)信息安全管理有關(guān)的重要要素的描述。
5.2.2 監(jiān)督活動
5.2.2.1 監(jiān)督活動的方式
CQM采用現(xiàn)場監(jiān)督審核和日常監(jiān)督(如關(guān)注國家有關(guān)部門發(fā)布的質(zhì)量信息公報(bào)、關(guān)注獲證客戶相關(guān)方的信息、獲證客戶有關(guān)信息的日常跟蹤、審查獲證客戶及其運(yùn)作的說明、要求獲證客戶提供文件和記錄等)相結(jié)合的方式。
5.2.2.2 獲證后監(jiān)督審核的內(nèi)容
a) 體系保持和任何變更情況(如資源、過程、組織結(jié)構(gòu)、已識別的關(guān)鍵控制點(diǎn)等);
b) 顧客投訴的情況;
c) 涉及變更的范圍;
d) 信息安全的《適用性聲明》及版本的變化情況;
e) 管理體系實(shí)施的有效性;
f) 為持續(xù)改進(jìn)而策劃的活動的進(jìn)展;
g) 針對上次審核中確定的不符合所采取的措施和效果;
h) 證書和標(biāo)志的使用和(或)任何其他對認(rèn)證資格的引用;
i) 適當(dāng)時(shí),其他選定的范圍。
獲證客戶應(yīng)保存全部投訴記錄,需要時(shí)提供認(rèn)證機(jī)構(gòu)。
CQM根據(jù)以上信息對獲證客戶管理體系進(jìn)行再評價(jià),確認(rèn)其是否持續(xù)滿足認(rèn)證要求。對于監(jiān)督審核合格的獲證組織,作出保持其云服務(wù)信息安全管理體系認(rèn)證資格的決定;否則,應(yīng)暫停、撤銷其相應(yīng)的認(rèn)證資格。
監(jiān)督審核時(shí),如認(rèn)證客戶沒有按要求關(guān)閉不符合,將可能導(dǎo)致認(rèn)證證書的暫停。
5.2.2.3 監(jiān)督審核的頻次
在證書有效期內(nèi),獲證客戶須接受監(jiān)督審核。CQM的云服務(wù)信息安全管理體系至少每個(gè)日歷年(應(yīng)進(jìn)行再認(rèn)證的年份除外)進(jìn)行一次監(jiān)督審核,監(jiān)督審核的最長時(shí)間間隔不超過12個(gè)月。初次認(rèn)證和再認(rèn)證后的第一次監(jiān)督審核應(yīng)從認(rèn)證決定日期起12個(gè)月內(nèi)進(jìn)行;監(jiān)督審核的最長時(shí)間間隔不超過 15 個(gè)月。
由于獲證組織的(季節(jié))業(yè)務(wù)特點(diǎn)及其內(nèi)部審核安排等原因,可以合理選取和安排監(jiān)督周期及時(shí)機(jī),在認(rèn)證證書有效期內(nèi)的監(jiān)督審核必須覆蓋云服務(wù)信息安全管理體系認(rèn)證范圍內(nèi)的所有業(yè)務(wù)活動。
獲證客戶因未在規(guī)定的時(shí)間內(nèi)實(shí)施監(jiān)督審核而暫停認(rèn)證證書的,監(jiān)督審核恢復(fù)后,下次審核時(shí)間應(yīng)按原計(jì)劃時(shí)間計(jì)算。
若發(fā)生下述情況則需增加監(jiān)督頻次,或安排提前較短時(shí)間通知的審核:
a) 獲證客戶對管理體系進(jìn)行了重大更改或發(fā)生重大問題;
b) 有足夠信息表明獲證客戶發(fā)生了組織機(jī)構(gòu)、云服務(wù)信息安全服務(wù)變更等影響到其認(rèn)證基礎(chǔ)的更改;
c) 獲證客戶出現(xiàn)信息安全泄露事故或云服務(wù)信息安全服務(wù)質(zhì)量事故或用戶提出對相關(guān)管理體系運(yùn)行效果的投訴未得到處理時(shí);
d) 其他需要考慮的情況。
5.2.3 再認(rèn)證
獲證客戶在證書有效期滿前至少三個(gè)月,須提出再認(rèn)證申請。再認(rèn)證審核的目的是驗(yàn)證作為一個(gè)整體的組織管理體系全面的持續(xù)符合性和有效性,以及認(rèn)證范圍的持續(xù)相關(guān)性和適宜性。再認(rèn)證審核的程序和要求參照5.2.1條實(shí)施。
在對獲證客戶的日常監(jiān)督中,發(fā)現(xiàn)獲證客戶的出現(xiàn)嚴(yán)重影響管理體系運(yùn)作的重大變更時(shí),或?qū)Λ@證客戶的投訴分析和其他信息表明獲證客戶不再滿足認(rèn)證要求時(shí),將安排特殊審核或與獲證客戶商定提前安排再認(rèn)證審核。
再認(rèn)證審核還需關(guān)注云服務(wù)信息安全管理體系在認(rèn)證周期內(nèi)的績效,包括調(diào)閱以前的監(jiān)督審核報(bào)告。
對于多場所或結(jié)合審核的認(rèn)證,再認(rèn)證審核應(yīng)確保現(xiàn)場審核具有足夠的覆蓋范圍,以提供對云服務(wù)安全管理體系和信息安全管理體系認(rèn)證的信任。
再認(rèn)證時(shí)通常可不進(jìn)行一階段審核,但當(dāng)獲證客戶的管理體系和獲證客戶的內(nèi)外部運(yùn)作環(huán)境有重大變化時(shí),再認(rèn)證審核活動可能需要有第一階段審核。
再認(rèn)證審核時(shí),認(rèn)證客戶應(yīng)在當(dāng)前認(rèn)證證書到期前接受CQM審核,并對于審核組開具的不符合在規(guī)定的時(shí)間內(nèi)按要求關(guān)閉。否則,因認(rèn)證客戶的原因?qū)е翪QM不能在原認(rèn)證證書到期后6個(gè)月內(nèi)作出認(rèn)證決定的,再認(rèn)證審核失效。
5.2.4 特殊審核
5.2.4.1 擴(kuò)大認(rèn)證范圍審核
針對已獲證的客戶,CQM對擴(kuò)大認(rèn)證范圍的申請進(jìn)行評審,確定能否予以擴(kuò)大的決定所需的審核活動,這一工作可與監(jiān)督審核同時(shí)進(jìn)行。
5.2.4.2 提前較短時(shí)間通知的審核
為調(diào)查投訴、對變更做出回應(yīng)或?qū)Ρ粫和5?/font>認(rèn)證客戶進(jìn)行追蹤,需要在提前較短時(shí)間通知獲證客戶后對其進(jìn)行的審核。
1)向獲證客戶說明并使其提前了解將在何種條件下進(jìn)行此類審核;
2)指派具有豐富經(jīng)驗(yàn)的審核員組成審核組。
5.3 現(xiàn)場審核活動實(shí)施
審核組在現(xiàn)場審核前與受審核方溝通,確認(rèn)審核安排,說明首末次會議議程。
審核組按照審核計(jì)劃中日程安排實(shí)施審核,通過查閱受審核方的文件和記錄、與過程和活動的崗位人員面談、座談、觀察服務(wù)形成過程和活動等適當(dāng)方法,抽樣收集并驗(yàn)證有關(guān)的信息,必要時(shí),進(jìn)行技術(shù)測試,形成審核發(fā)現(xiàn),確認(rèn)審核情況。
在審核過程中,審核組及時(shí)與受審核方溝通,通報(bào)審核進(jìn)程,確認(rèn)審核證據(jù),解決分歧。當(dāng)審核發(fā)現(xiàn)表明不能達(dá)到審核目的時(shí),應(yīng)說明理由,商定后續(xù)措施。如果需要改變審核目的和范圍或終止審核時(shí),應(yīng)經(jīng)審核派出機(jī)構(gòu)評審和批準(zhǔn)后實(shí)施。
審核組長在現(xiàn)場審核結(jié)束前,與受審核方溝通現(xiàn)場審核的信息,請受審核方對發(fā)現(xiàn)的問題和不符合報(bào)告進(jìn)行確認(rèn),并商定對不符合的后續(xù)措施的安排,確認(rèn)審核結(jié)論。審核組編制審核報(bào)告并提交受審核方。
審核報(bào)告屬CQM所有,如果在審核后續(xù)活動中(含CQM進(jìn)行認(rèn)證決定期間)有所更改,CQM將重新向受審核方提供審核報(bào)告。請受審核方妥善保管審核報(bào)告、不符合報(bào)告及其糾正材料等相應(yīng)材料。
6 認(rèn)證的批準(zhǔn)、拒絕、保持、擴(kuò)大、縮小、暫停、恢復(fù)和撤銷的條件和程序
6.1 批準(zhǔn)認(rèn)證范圍的條件和程序
6.1.1 批準(zhǔn)認(rèn)證注冊的條件
a) 認(rèn)證客戶的申請材料真實(shí)、準(zhǔn)確、有效;
b) 認(rèn)證客戶建立和實(shí)施的相關(guān)管理體系符合認(rèn)證標(biāo)準(zhǔn)/規(guī)范性文件要求,審核組提出推薦認(rèn)證的結(jié)論意見;
c) 認(rèn)證客戶申請認(rèn)證范圍在法律地位文件和資質(zhì)規(guī)定的范圍內(nèi);
d) 國家或地方或行業(yè)有要求時(shí),認(rèn)證客戶申請認(rèn)證范圍內(nèi)的組織單元、服務(wù)及其過程和活動已滿足適用的法律法規(guī)的要求;
e) 審核證據(jù)表明管理評審和內(nèi)部審核的安排已實(shí)施、有效且得到保持,并已進(jìn)行了一次覆蓋管理體系所有要求的完整內(nèi)部審核;
f) 審核中發(fā)現(xiàn)的不合格在規(guī)定期限內(nèi)已經(jīng)采取糾正/糾正措施,經(jīng)CQM驗(yàn)證有效。
g) 至少近一年來,認(rèn)證客戶申請認(rèn)證范圍內(nèi)未發(fā)生信息安全泄露事故或國家檢查不合格;
h) 認(rèn)證客戶已與方圓簽署認(rèn)證合同,承諾始終遵守認(rèn)證的有關(guān)規(guī)定,并按照認(rèn)證合同規(guī)定繳納認(rèn)證費(fèi)用。
6.1.2 批準(zhǔn)認(rèn)證資格的程序
a) CQM向認(rèn)證客戶提供認(rèn)證有關(guān)信息的公開文件,使其知悉并理解;
b) 認(rèn)證客戶向CQM正式提交認(rèn)證申請書和相關(guān)附件;
c) CQM根據(jù)客戶申請信息進(jìn)行申請?jiān)u審,并已確認(rèn)受理認(rèn)證申請;
d) 滿足6.1.1批準(zhǔn)認(rèn)證資格的條件,經(jīng)CQM審定,認(rèn)為認(rèn)證客戶在認(rèn)證范圍內(nèi)已滿足批準(zhǔn)認(rèn)證資格的條件,同意批準(zhǔn)認(rèn)證;
e) CQM向認(rèn)證客戶頒發(fā)認(rèn)證證書,要求獲證方按規(guī)定使用認(rèn)證標(biāo)志。
6.2 拒絕認(rèn)證注冊的條件和程序
6.2.1 拒絕認(rèn)證資格的條件
a) 認(rèn)證客戶信息未通過CQM的申請?jiān)u審,評審為不予受理認(rèn)證申請;
b) CQM審核組現(xiàn)場審核結(jié)論為“不推薦認(rèn)證注冊”;
c) 初次認(rèn)證第二階段后,認(rèn)證客戶未在規(guī)定的時(shí)間內(nèi)按要求關(guān)閉不符合,或未按規(guī)定接受CQM再次實(shí)施的二階段審核;
d) 再認(rèn)證審核后,認(rèn)證客戶未在規(guī)定的時(shí)間內(nèi)按要求關(guān)閉不符合(包括CQM審定提出的不符合);;
e) 除以上情況外,CQM的審定結(jié)論為不予認(rèn)證注冊。
6.2.2 拒絕認(rèn)證注冊的程序
a) 符合6.2.1條件之一,經(jīng)CQM評審為不予受理認(rèn)證或認(rèn)證客戶的管理體系不滿足批準(zhǔn)認(rèn)證資格條件;
b) CQM向認(rèn)證客戶發(fā)出《不予認(rèn)證注冊通知》。
6.3 保持認(rèn)證資格的條件和程序
6.3.1 保持認(rèn)證資格的條件
a) 獲證客戶的法律地位、行政許可文件持續(xù)符合國家的最新要求,并且認(rèn)證范圍在法律地位文件和行政許可文件規(guī)定的范圍內(nèi);
b) 獲證客戶持續(xù)遵守認(rèn)證有關(guān)的規(guī)定,包括變更的規(guī)定;
c) 獲證客戶在認(rèn)證范圍內(nèi)的組織單元、服務(wù)及其過程和活動持續(xù)滿足適用的最新法律法規(guī)的要求,如發(fā)生不滿足時(shí)及時(shí)采取有效的措施;
d) 獲證客戶于獲證期內(nèi),認(rèn)證范圍內(nèi)涉及的服務(wù)/活動未發(fā)生重大事故和國家檢查不合格;
e) 獲證客戶在獲證期間未發(fā)生誤用認(rèn)證證書和認(rèn)證標(biāo)志,如有發(fā)生能及時(shí)有效地采取糾正和糾正措施,并將誤用產(chǎn)生的影響降至最少程度;
f) 獲證客戶對顧客或相關(guān)方的重大投訴和關(guān)切能及時(shí)有效地處理;
g) 獲證客戶能按照CQM要求及時(shí)通報(bào)管理體系和重要過程變更等信息;
h) 按時(shí)接受監(jiān)督審核,經(jīng)現(xiàn)場審核獲證客戶的管理體系持續(xù)符合認(rèn)證標(biāo)準(zhǔn)/規(guī)范性文件要求,審核組結(jié)論為“保持認(rèn)證”;
i) 獲證客戶履行與CQM簽署認(rèn)證合同中規(guī)定的責(zé)任和義務(wù),并按照認(rèn)證合同規(guī)定繳納認(rèn)證費(fèi)用。
6.3.2 保持認(rèn)證資格的程序
a) 滿足6.3.1保持認(rèn)證資格的條件,監(jiān)督審核后,經(jīng)CQM派出的審核組長確認(rèn)和CQM審查后認(rèn)為獲證客戶在認(rèn)證范圍內(nèi)能持續(xù)滿足保持認(rèn)證資格的條件,同意保持認(rèn)證資格,由CQM簽發(fā)確認(rèn)證書并向獲證客戶發(fā)放;
b) 在認(rèn)證證書有效期內(nèi)如有認(rèn)證要求變更,獲證客戶接受變更的認(rèn)證要求,并經(jīng)CQM驗(yàn)證在認(rèn)證范圍內(nèi)管理體系滿足變更的要求,可保持認(rèn)證資格。
6.4 擴(kuò)大認(rèn)證范圍的條件和程序
6.4.1 擴(kuò)大認(rèn)證范圍的分類
a) 獲證客戶名稱增加、固定分場所增加、服務(wù)點(diǎn)增加;
b) 服務(wù)類別增加;
c) 服務(wù)形成主要過程增加,如軟件設(shè)計(jì)開發(fā)服務(wù)、軟件測試服務(wù)。
6.4.2 擴(kuò)大認(rèn)證范圍的條件
a) 獲證客戶保持認(rèn)證資格有效。
b) 獲證客戶申請擴(kuò)大的認(rèn)證范圍在法律地位文件范圍內(nèi)。國家、地方或行業(yè)有要求時(shí),獲證客戶擬擴(kuò)大的認(rèn)證范圍具有有效的行政許可文件;
c) 國家或地方或行業(yè)有要求時(shí),獲證客戶在申請擴(kuò)大認(rèn)證范圍內(nèi)的組織單元、產(chǎn)品、服務(wù)及其過程和活動,已滿足適用的法律法規(guī)的要求;
d) 獲證客戶的管理體系覆蓋申請擴(kuò)大的認(rèn)證范圍,并符合認(rèn)證標(biāo)準(zhǔn)/規(guī)范性文件要求;
e) 獲證客戶按照認(rèn)證規(guī)定繳納補(bǔ)充認(rèn)證費(fèi)用。
6.4.3 擴(kuò)大認(rèn)證范圍的程序
a) CQM向獲證客戶提供與擴(kuò)大認(rèn)證范圍有關(guān)信息的公開文件,獲證客戶知悉并理解;
b) 獲證客戶向CQM正式提交擴(kuò)大認(rèn)證范圍的申請和相關(guān)附件;
c) 需要時(shí),獲證客戶與CQM補(bǔ)充簽署或修訂認(rèn)證合同,并按照規(guī)定補(bǔ)充繳納認(rèn)證費(fèi)用;
d) 滿足6.4.1擴(kuò)大認(rèn)證范圍的條件,經(jīng)CQM審核、審定,認(rèn)為獲證客戶在申請擴(kuò)大認(rèn)證范圍內(nèi)已滿足批準(zhǔn)認(rèn)證資格的條件,同意批準(zhǔn)擴(kuò)大認(rèn)證范圍,認(rèn)證證書的注冊號和有效期保持不變;
e) CQM向獲證客戶送交新認(rèn)證證書,同時(shí)收回原證書。
6.5 縮小認(rèn)證范圍的條件和程序
6.5.1 縮小認(rèn)證范圍的分類
a) 獲證客戶固定分場所、服務(wù)網(wǎng)點(diǎn)縮小;
b) 服務(wù)類別減少;
c) 服務(wù)形成主要過程減少,如軟件設(shè)計(jì)開發(fā)服務(wù)、軟件測試服務(wù);
d) 多個(gè)組織認(rèn)證減少組織數(shù)量。
6.5.2 縮小認(rèn)證范圍的條件
a) 獲證客戶認(rèn)證范圍內(nèi)部分產(chǎn)品/服務(wù)、區(qū)域等不再符合認(rèn)證標(biāo)準(zhǔn)/規(guī)范性文件和其他要求;
b) 獲證客戶不愿再繼續(xù)保持認(rèn)證范圍內(nèi)的部分服務(wù)、區(qū)域等認(rèn)證資格;
c) 獲證客戶縮小認(rèn)證范圍應(yīng)不包括為縮小認(rèn)證風(fēng)險(xiǎn)的情況。
d) 如果獲證客戶在認(rèn)證范圍的某些部分持續(xù)地或嚴(yán)重地不滿足認(rèn)證要求,CQM將縮小其管理體系認(rèn)證范圍。以排除部門組要求的部分。認(rèn)證范圍的縮小應(yīng)與認(rèn)證標(biāo)準(zhǔn)的要求保持一致。
6.5.3 縮小認(rèn)證范圍的程序
a) 獲證客戶向CQM正式提交縮小認(rèn)證范圍的申請,或CQM提出縮小獲證客戶認(rèn)證范圍的建議,并提供理由和證據(jù)。CQM的審定意見和日常監(jiān)督結(jié)果也可作為認(rèn)證范圍縮小的信息來源和理由,經(jīng)認(rèn)證雙方溝通后達(dá)成一致意見;
b) 需要時(shí),獲證客戶應(yīng)與CQM修訂認(rèn)證合同;
c) 經(jīng)CQM審定,認(rèn)為獲證客戶在申請縮小認(rèn)證范圍不會對仍保持的認(rèn)證范圍產(chǎn)生影響,同意批準(zhǔn)縮小認(rèn)證范圍,收回原認(rèn)證證書,換發(fā)認(rèn)證證書或附件,認(rèn)證證書的注冊號和有效期保持不變。
6.6 變更認(rèn)證信息的條件和程序
6.6.1變更認(rèn)證信息的條件和分類
6.6.1.1變更認(rèn)證信息的條件
在認(rèn)證證書有效內(nèi),獲證客戶因信息發(fā)生變更,導(dǎo)致與認(rèn)證證書信息不一致時(shí),應(yīng)予以更新。
6.6.1.2變更認(rèn)證信息的分類:
a) 獲證客戶名稱、住所變更;
b) 認(rèn)證地址變更;
c) 地名、郵編變更;
d) 企業(yè)人數(shù)變更,證書編號變更;
e) 證書范圍中的服務(wù)、活動的變更(含臨時(shí)服務(wù)場所)。
6.6.2變更認(rèn)證信息的程序
6.6.2.1認(rèn)證信息的變更需提交的資料
6.6.2.1.1獲證客戶名稱、住所變更應(yīng)提交的資料
a) 獲證客戶的書面變更申請;
b) 獲證客戶是企業(yè)的,提供工商行政主管部門的變更核準(zhǔn)證明及新營業(yè)執(zhí)照復(fù)印件;其他性質(zhì)的獲證客戶提供允許其設(shè)立的政府行政主管部門的相關(guān)文件;
c) 對于因改制、企業(yè)重組引起的名稱變更,獲證客戶不能獲得名稱變更核準(zhǔn)證明時(shí),應(yīng)提交組織以原名稱和現(xiàn)名稱名義的更名申請、政府有關(guān)部門的批文和原名稱注銷證明;并需因管理體系發(fā)生重大變更接受CQM的一次監(jiān)督審核和審定;
d) 有行政許可、資質(zhì)等要求的獲證客戶,還應(yīng)提供按新名稱變更后的有關(guān)文件。
6.6.2.1.2認(rèn)證地址變更需要提交的資料
a) 獲證客戶的書面變更申請;
b) 有行政許可、資質(zhì)等要求的獲證客戶,還應(yīng)提供按新地址變更后的法規(guī)要求的有關(guān)文件。
6.6.2.1.3 地名、郵編變更需要提交的資料
a) 獲證客戶的書面變更申請;
b) 當(dāng)?shù)卣南嚓P(guān)證明;
c) 對有行政許可、資質(zhì)等要求的獲證客戶,還應(yīng)提供按新地址變更后的有關(guān)文件。
6.6.2.1.4企業(yè)增加人數(shù),證書編號變更需要提交的資料
獲證客戶提出企業(yè)增加人數(shù)時(shí),需提交變更企業(yè)人數(shù)和證書編號的書面申請。
6.6.2.1.5 證書范圍中的服務(wù)、活動的變更需要提交的資料
a) 獲證客戶的書面變更申請;
a) 對有行政許可、資質(zhì)等要求的認(rèn)證范圍,還應(yīng)提供相應(yīng)文件復(fù)印件。
6.6.2.2 認(rèn)證信息變更的辦理流程
a) 獲證客戶根據(jù)6.6.1要求向CQM正式提交滿足6.6.2.1要求的申請和相關(guān)文件資料;
b) 需要時(shí),獲證客戶應(yīng)接受CQM的審核;
c) 經(jīng)CQM審定,認(rèn)為獲證客戶滿足認(rèn)證信息變更的條件,同意批準(zhǔn)認(rèn)證信息變更;
d) CQM收回原認(rèn)證證書,換發(fā)認(rèn)證證書或附件,認(rèn)證證書的有效期保持不變。
6.7 暫停認(rèn)證資格的條件和程序
6.7.1 暫停認(rèn)證資格的條件
符合下列條件之一的獲證客戶,CQM將暫停其認(rèn)證證書:
--獲證客戶管理及服務(wù)體系持續(xù)或嚴(yán)重不滿足認(rèn)證要求,包括對管理體系運(yùn)行的有效性要求。
a)獲證客戶的管理體系發(fā)生重大變更,不能持續(xù)符合認(rèn)證標(biāo)準(zhǔn)/規(guī)范性文件要求;
b)獲證客戶監(jiān)督審核期間發(fā)生嚴(yán)重影響體系運(yùn)行的情況;
c)獲證客戶在認(rèn)證范圍內(nèi)的組織單元、服務(wù)及其過程和活動不能滿足適用的最新法律法規(guī)和標(biāo)準(zhǔn)的要求,并未采取措施或措施無效;
d)獲證客戶未按照認(rèn)證要求的變更做出相應(yīng)調(diào)整,或調(diào)整不滿足變更要求;
--獲證客戶不承擔(dān)、履行認(rèn)證合同約定的責(zé)任和義務(wù)。
a)獲證客戶未能在規(guī)定的期限內(nèi)接受監(jiān)督或再認(rèn)證審核;
b)獲證客戶未履行與CQM簽署認(rèn)證合同中規(guī)定的責(zé)任和義務(wù),并對保持認(rèn)證資格產(chǎn)生重大影響;
c)獲證客戶未按照認(rèn)證合同規(guī)定繳納認(rèn)證費(fèi)用;
d)獲證客戶在獲證期間發(fā)生誤用認(rèn)證證書和認(rèn)證標(biāo)志,并未能及時(shí)有效地采取糾正和糾正措施,以將產(chǎn)生的影響降至最少程度。
--獲證客戶在證書有效期間受到相關(guān)執(zhí)法監(jiān)管部門處罰。
a) 獲證客戶未按要求對信息進(jìn)行通報(bào)。
--獲證客戶被地方認(rèn)證監(jiān)管部門發(fā)現(xiàn)體系運(yùn)行存在問題。
a)獲證客戶于獲證期間在認(rèn)證范圍內(nèi)發(fā)生國家抽檢不合格,并未查明原因和采取補(bǔ)救措施。
--獲證客戶持有的行政許可證明、資質(zhì)證書、強(qiáng)制性認(rèn)證證書等過期失效,重新提交的申請已被受理但尚未換證。
a)獲證客戶的法律地位、資質(zhì)不再符合國家的最新要求;
b)獲證客戶的認(rèn)證范圍已不在現(xiàn)行有效的法律地位文件和資質(zhì)規(guī)定的范圍內(nèi),但仍有可能在短期內(nèi)符合規(guī)定要求。
--獲證客戶不接受或不配合認(rèn)證認(rèn)可監(jiān)督管理部門的監(jiān)督管理;
--獲證客戶主動請求暫停。
--獲證客戶發(fā)生了與信息安全泄露事故的重大事故,反映出獲證客戶的體系建立及運(yùn)行存在重大缺陷。
a)獲證客戶于獲證期間在認(rèn)證范圍內(nèi)發(fā)生重大事故被媒體曝光、或未查明原因和采取補(bǔ)救措施;
b)獲證客戶服務(wù)出現(xiàn)嚴(yán)重波動,未采取措施。
--其他原因需要暫停證書。
6.7.2 暫停認(rèn)證資格的程序
a) CQM提出對獲證客戶暫停全部或部分認(rèn)證范圍內(nèi)認(rèn)證資格的建議,并提供理由和證據(jù),或由獲證客戶向CQM提出暫停認(rèn)證資格的申請;
b) 必要時(shí),CQM與獲證客戶溝通,核實(shí)證據(jù);
c) 經(jīng)CQM審定,認(rèn)為獲證客戶在認(rèn)證范圍內(nèi)全部或部分不再持續(xù)滿足認(rèn)證要求,但仍然有可能在短期內(nèi)采取糾正措施的,同意批準(zhǔn)暫停全部或部分認(rèn)證范圍的認(rèn)證資格,并確定暫停期限,向獲證客戶頒發(fā)《認(rèn)證處置決定通知書》并公告;
d) 獲證客戶按照《管理體系認(rèn)證證書和認(rèn)證標(biāo)志、認(rèn)可標(biāo)識使用規(guī)則》停止使用認(rèn)證證書和認(rèn)證標(biāo)志, 在暫停期間,客戶的管理體系認(rèn)證暫時(shí)無效。
6.7.3暫停期限
認(rèn)證資格暫停期最長不超過6個(gè)月。
6.8 恢復(fù)認(rèn)證資格的條件和程序
6.8.1 恢復(fù)認(rèn)證資格的條件
獲證客戶已針對暫停認(rèn)證資格的原因采取了有效的糾正措施,產(chǎn)生原因已經(jīng)消除,認(rèn)證資格的恢復(fù)符合相關(guān)的認(rèn)證要求,同時(shí)已證實(shí)在暫停期內(nèi)沒有使用、引用認(rèn)證資格(如廣告宣傳)和使用認(rèn)證標(biāo)志。
6.8.2 恢復(fù)認(rèn)證資格的程序
a) 在確定的認(rèn)證資格暫停限期結(jié)束前,根據(jù)暫停原因,獲證客戶在規(guī)定期限內(nèi)向CQM提出恢復(fù)認(rèn)證資格的《恢復(fù)使用認(rèn)證證書和認(rèn)證標(biāo)志的申請書》;
b) 需要時(shí),獲證客戶應(yīng)提交相關(guān)糾正措施和有效性驗(yàn)證材料;
c) 經(jīng)CQM審定,確認(rèn)獲證客戶在暫停認(rèn)證資格的認(rèn)證范圍內(nèi)已恢復(fù)符合相關(guān)的認(rèn)證要求,作出同意恢復(fù)認(rèn)證資格的結(jié)論,頒發(fā)《恢復(fù)使用認(rèn)證證書和標(biāo)志的通知》并公告。
6.9 撤銷認(rèn)證資格的條件和程序
6.9.1 撤銷認(rèn)證資格的條件
符合下列條件之一的獲證客戶,CQM將撤銷其認(rèn)證證書:
--獲證客戶審核未通過。
--獲證客戶被注銷或撤銷法律地位證明文件。
a) 獲證客戶的法律地位、資質(zhì)不再符合國家的最新要求;
--獲證客戶拒絕配合認(rèn)證監(jiān)管部門實(shí)施的監(jiān)督檢查,或者對有關(guān)事項(xiàng)的詢問和調(diào)查提供了虛假材料或信息。
--獲證客戶出現(xiàn)重大的信息安全泄露事故等,經(jīng)執(zhí)法監(jiān)管部門確認(rèn)是獲證客戶違規(guī)造成。
a) 獲證客戶于獲證期間在認(rèn)證范圍內(nèi)發(fā)生國家抽檢不合格,并造成嚴(yán)重影響。
--獲證客戶在證書有效期間有其他嚴(yán)重違反法律法規(guī)行為,受到相關(guān)執(zhí)法監(jiān)管部門處罰。
--獲證客戶暫停認(rèn)證證書的期限已滿但導(dǎo)致暫停的問題未得到解決或糾正(包括持有的行政許可證明、資質(zhì)證書、強(qiáng)制性認(rèn)證證書等已經(jīng)過期失效但申請未獲批準(zhǔn))。
--獲證客戶沒有運(yùn)行管理體系或者已不具備運(yùn)行條件。
a)獲證客戶在認(rèn)證范圍內(nèi)的管理體系發(fā)生重大變更,未向CQM通報(bào),并在短期內(nèi)無法滿足認(rèn)證要求;
b) 獲證客戶體制變更后原管理體系已不再適宜;
c) 獲證客戶不再進(jìn)行體系覆蓋內(nèi)的云服務(wù)信息安全服務(wù);
d) 獲證客戶在認(rèn)證范圍內(nèi)的組織單元、服務(wù)及其過程和活動嚴(yán)重不能滿足適用的最新法律法規(guī)和標(biāo)準(zhǔn)的要求,并在短期內(nèi)無法采取措施或采取措施無效的;
e)獲證客戶停業(yè)或關(guān)閉的。
--獲證客戶不按相關(guān)規(guī)定正確引用和宣傳獲得的認(rèn)證信息,造成嚴(yán)重影響或后果,或者認(rèn)證機(jī)構(gòu)已要求其糾正但超過2個(gè)月仍未糾正。
a) 獲證客戶在獲證期間發(fā)生大量誤用認(rèn)證證書和認(rèn)證標(biāo)志,并未能及時(shí)有效地采取糾正和糾正措施,誤導(dǎo)消費(fèi)者,影響面大;
b) 獲證客戶轉(zhuǎn)讓認(rèn)證證書和認(rèn)證標(biāo)志;
--獲證客戶發(fā)生了與信息安全泄露事故,反映出獲證客戶的體系建立及運(yùn)行存在重大缺陷。
--獲證客戶因換發(fā)新證而撤銷舊證書。
--獲證客戶不承擔(dān)、履行認(rèn)證合同約定的責(zé)任和義務(wù)。
a) 獲證客戶單方面宣布不履行與CQM簽署認(rèn)證合同中規(guī)定的責(zé)任和義務(wù)的;
b) 獲證客戶長期拖繳認(rèn)證費(fèi)用,并催繳無效的;
c) 經(jīng)核實(shí)獲證客戶提供虛假信息,且影響了審核、認(rèn)證決定的有效性的;
d) 獲證客戶更換認(rèn)證機(jī)構(gòu)的(未書面告知CQM的);
e) 獲證客戶對顧客或相關(guān)方的重大投訴不做處理的。
--獲證客戶主動放棄認(rèn)證。
--其他原因需要撤銷證書。
6.9.2 撤銷認(rèn)證資格的程序
經(jīng)CQM核實(shí)與審定,確認(rèn)獲證客戶在認(rèn)證范圍內(nèi)的管理體系不再滿足認(rèn)證要求,作出撤銷認(rèn)證資格的結(jié)論,發(fā)放《認(rèn)證處置決定通知書》并公告,同時(shí)收回認(rèn)證證書,認(rèn)證客戶不得再使用認(rèn)證證書和認(rèn)證標(biāo)志。
7 認(rèn)證證書和認(rèn)證標(biāo)志
7.1 認(rèn)證證書和認(rèn)證標(biāo)志
7.1.1 認(rèn)證證書
初次認(rèn)證認(rèn)證證書有效期最長為3年。再認(rèn)證的認(rèn)證證書有效期不超過最近一次有效認(rèn)證證書截止期再加3年,但再認(rèn)證的認(rèn)證證書有效期最長不超過42個(gè)月。如獲證客戶要求繼續(xù)使用認(rèn)證證書,應(yīng)在證書有效期內(nèi)接受再認(rèn)證。
7.1.2 認(rèn)證標(biāo)志
按CQM《管理體系認(rèn)證證書和認(rèn)證標(biāo)志、認(rèn)可標(biāo)識使用規(guī)則》要求執(zhí)行。
7.2 認(rèn)證證書和認(rèn)證標(biāo)志的使用
獲證客戶應(yīng)建立認(rèn)證證書和認(rèn)證標(biāo)志的使用方案,獲證后按照《管理體系認(rèn)證證書和認(rèn)證標(biāo)志、認(rèn)可標(biāo)識使用規(guī)則》正確使用認(rèn)證證書和認(rèn)證標(biāo)志。
7.3 認(rèn)證證書和認(rèn)證標(biāo)志的誤用
獲證客戶誤用認(rèn)證證書和認(rèn)證標(biāo)志,可能導(dǎo)致認(rèn)證資格的暫停或撤銷。誤用認(rèn)證證書和標(biāo)志的類型及對誤用認(rèn)證證書和標(biāo)志的處理見《管理體系管理體系認(rèn)證證書和認(rèn)證標(biāo)志、認(rèn)可標(biāo)識使用規(guī)則》中規(guī)定。
獲證客戶一旦發(fā)現(xiàn)誤用認(rèn)證證書或認(rèn)證標(biāo)志,應(yīng)立即采取糾正措施,并報(bào)告方圓審核管理部門。
8 獲證客戶的信息通報(bào)
獲證客戶應(yīng)建立向方圓通報(bào)最新信息的程序,并及時(shí)通報(bào)其重大投訴、國家監(jiān)督檢查結(jié)果、重大事故及獲證客戶變更的各種信息等。變更信息包括(但不限于)以下:
a) 組織名稱,組織法人,隸屬關(guān)系;
b) 聯(lián)系人,聯(lián)系方式(包括:電話、傳真、手機(jī));
c) 組織地址(包括:注冊地址、認(rèn)證地址、郵編);
d) 體系覆蓋人數(shù);
e) 認(rèn)證范圍變化;
f) 組織機(jī)構(gòu)和職能分配;
g) 組織認(rèn)證場所/服務(wù)點(diǎn)的增加;
h) 管理體系文件
i) 適用性聲明及其版本的變化;
j) 云服務(wù)標(biāo)準(zhǔn)的變化;
k) 商標(biāo)等信息。
8.1向CQM通報(bào)以下信息的要求:
1)業(yè)務(wù)、地點(diǎn)、組織結(jié)構(gòu)變化等情況的信息(及時(shí)通報(bào));
2)顧客投訴的相關(guān)信息;
3)認(rèn)證客戶的體系文件信息的變化;
4)有嚴(yán)重信息安全事故(包括已經(jīng)或可能嚴(yán)重?fù)p害國家安全、社會秩序、公共利益或獲證客戶及其相關(guān)方的合法權(quán)益)的信息(及時(shí)通報(bào));
5)其他重要信息。(視情況)
當(dāng)上述信息發(fā)生變更時(shí),獲證客戶應(yīng)填寫《獲證組織認(rèn)證信息變更溝通單》,并及時(shí)反饋給CQM。變更信息反饋渠道及聯(lián)系信息詳見《獲證組織認(rèn)證信息變更溝通單》中的聯(lián)系方式。
監(jiān)督審核前,通過《監(jiān)督審核通知單》回執(zhí)及附件將企業(yè)參與服務(wù)提供的其他方數(shù)量變化信息,服務(wù)點(diǎn)變化信息填寫在申請書附錄里通報(bào)CQM。
9 認(rèn)證要求變更的條件和程序
9.1 認(rèn)證要求變更的條件
a) 獲證客戶保持認(rèn)證資格有效;
b) 認(rèn)證要求變更應(yīng)在規(guī)定的時(shí)間前完成;
c) 申請認(rèn)證要求變更的獲證客戶應(yīng)提交認(rèn)證要求變更需求申請,并提交按新的認(rèn)證要求進(jìn)行體系調(diào)整的證據(jù);
d) 獲證客戶的管理體系已滿足新的認(rèn)證要求,且已正常運(yùn)行。
9.2 認(rèn)證要求變更的程序
a) 在認(rèn)證要求變更轉(zhuǎn)換期結(jié)束前,獲證客戶向CQM提出認(rèn)證要求變更申請;提出申請日期宜在轉(zhuǎn)換期截止前至少90天;
b) CQM通過對獲證客戶實(shí)施年度監(jiān)督審核或再認(rèn)證審核,或應(yīng)獲證客戶要求安排的認(rèn)證要求變更的專項(xiàng)審核,評審調(diào)整后的管理體系對認(rèn)證要求的符合性、適宜性和有效性;
c) 經(jīng)CQM審定,認(rèn)為獲證客戶已滿足批準(zhǔn)認(rèn)證資格的條件,同意批準(zhǔn)認(rèn)證范圍,換發(fā)認(rèn)證證書或附件,收回原證書,認(rèn)證證書的注冊號和有效期保持不變。
10 保密
CQM承諾為認(rèn)證客戶保密(提前告知認(rèn)證客戶的需公開信息除外)。對認(rèn)證客戶的保密信息如需公開或向第三方提供時(shí),將擬提供的信息提前通知認(rèn)證客戶(法律限制除外)。
如有證據(jù)表明,CQM因認(rèn)證接觸受審核方的商業(yè)、技術(shù)秘密,而泄露給第三者(法律規(guī)定除外),承擔(dān)相應(yīng)法律責(zé)任。
11 申訴/投訴、爭議及處理
對CQM或?qū)徍巳藛T違反國家認(rèn)證法律、法規(guī)、認(rèn)可機(jī)構(gòu)有關(guān)規(guī)定、缺乏公正性及對認(rèn)證的評價(jià)結(jié)果等有異議時(shí),可以向CQM提出申訴、投訴。
CQM將在30日內(nèi)答復(fù)處理情況。
對CQM申訴/投訴和爭議的處理有異議時(shí)可向中國合格評定國家認(rèn)可委員會、中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會等有關(guān)部門進(jìn)一步申訴/投訴。
12 費(fèi)用
實(shí)施本方案的費(fèi)用,按CQM/S-GK-003-(8)《云服務(wù)信息安全管理體系認(rèn)證收費(fèi)管理規(guī)則》執(zhí)行。
13 公告
對獲得認(rèn)證、暫停、恢復(fù)或撤銷的認(rèn)證客戶,在CQM網(wǎng)站上公布。
14 附則
本方案由方圓標(biāo)志認(rèn)證集團(tuán)有限公司負(fù)責(zé)解釋。