1、 GK-37公開(kāi)文件生效日期：二一七年十月一日信息安全管理體系認(rèn)證方案1 適用范圍本認(rèn)證方案適用于北京中大華遠(yuǎn)認(rèn)證中心（以下簡(jiǎn)稱(chēng)： ZDHY）實(shí)施信息安全管理體系（以下簡(jiǎn)稱(chēng) ISMS）認(rèn)證，其規(guī)定了 ISMS 認(rèn)證的通用要求、特定規(guī)則與程序，必要時(shí)，在認(rèn)證合同中補(bǔ)充相關(guān)的技術(shù)要求。2 認(rèn)證模式ZDHY 首先對(duì)認(rèn)證受審核組織的 ISMS 進(jìn)行初次審核，經(jīng)過(guò)評(píng)定，確認(rèn)是否批準(zhǔn)認(rèn)證注冊(cè)；認(rèn)證注冊(cè)后，在認(rèn)證周期內(nèi)對(duì)獲證組織的管理體系進(jìn)行監(jiān)督和再認(rèn)證，確認(rèn)是否持續(xù)滿(mǎn)足認(rèn)證要求。3 認(rèn)證基本流程：文審和現(xiàn)場(chǎng)審核（包括第一階段、第二階段）證后監(jiān)督活動(dòng)再認(rèn)證4 認(rèn)證依據(jù)標(biāo)準(zhǔn)ISMS 認(rèn)證依據(jù)標(biāo)準(zhǔn)為： GB/T

2、 22080/ISO/IEC27001 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求；5 認(rèn)證申請(qǐng)5.1 申請(qǐng)認(rèn)證組織的基本條件包括：（1）申請(qǐng)認(rèn)證的組織應(yīng)具有明確的法律地位，取得國(guó)家工商行政管理部門(mén)或有關(guān)機(jī)構(gòu)注冊(cè)登記的法人資格（或其組成部分） ；1/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日（2）在國(guó)家地方或行業(yè)有要求時(shí)，申請(qǐng)組織應(yīng)具有規(guī)定的資質(zhì)，其申請(qǐng)認(rèn)證范圍應(yīng)在法律地位文件和資質(zhì)規(guī)定的范圍內(nèi)；（3）申請(qǐng)組織應(yīng)按現(xiàn)行有效的認(rèn)證依據(jù)標(biāo)準(zhǔn)建立和實(shí)施了文件化的 ISMS，一般情況下體系需有效運(yùn)行 3 個(gè)月以上，且至少已實(shí)施一次完整內(nèi)審和管理評(píng)審（適用于初次認(rèn)證）；（4）

3、申請(qǐng)組織近一年內(nèi)，未受到政府主管部門(mén)行政處罰。如果曾獲得過(guò) ISMS 認(rèn)證證書(shū)，其證書(shū)在有效期內(nèi)未被認(rèn)證機(jī)構(gòu)撤銷(xiāo)；（5）適用時(shí)，申請(qǐng)的認(rèn)證范圍所覆蓋的產(chǎn)品和服務(wù)涉及法律法規(guī)要求的行政許可或強(qiáng)制性認(rèn)證時(shí)，應(yīng)具有相應(yīng)的證書(shū)并保持有效；（6）申請(qǐng)組織承諾遵守國(guó)家的法律、法規(guī)其他要求，承諾始終遵守認(rèn)證的有關(guān)規(guī)定，承諾按合同約定和法律規(guī)定承擔(dān)與認(rèn)證有關(guān)的相關(guān)法律責(zé)任；（7）申請(qǐng)組織承諾獲得 ZDHY 認(rèn)證證書(shū)后，持續(xù)有效運(yùn)行 ISMS，按認(rèn)證合同約定支付有關(guān)費(fèi)用，按規(guī)定接受 ZDHY 和認(rèn)證監(jiān)管部門(mén)的監(jiān)督/檢查, 按 ZDHY 規(guī)定使用認(rèn)證證書(shū)、標(biāo)志和審核報(bào)告，并將組織發(fā)生的可能影響 ISMS 持續(xù)滿(mǎn)足

4、認(rèn)證標(biāo)準(zhǔn)要求的能力的事宜向 ZDHY 報(bào)告。5.2 申請(qǐng) ISMS 認(rèn)證的組織需遵守的特定要求（1）按照工信部聯(lián)協(xié)2010394 號(hào)文關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知的要求，以及有關(guān)主管部門(mén) /監(jiān)管部門(mén)對(duì)信息安全管理體系認(rèn)證的管理要求，中心不受理各級(jí)政府機(jī)關(guān)和政府信息系統(tǒng)運(yùn)營(yíng)單位、涉密信息系統(tǒng)建設(shè)使用單位的 ISMS 認(rèn)證申請(qǐng)。（2）為政府部門(mén)提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)申請(qǐng) ISMS 認(rèn)證時(shí)，須經(jīng)工業(yè)和信息化主管部門(mén)同意。通信、金融、鐵路、民航、電力等基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營(yíng)單位申請(qǐng) ISMS 認(rèn)證時(shí)，須經(jīng)行業(yè)主管部門(mén)同意，涉及國(guó)計(jì)民生的國(guó)有企業(yè)申請(qǐng) ISMS 認(rèn)證時(shí)，須經(jīng)國(guó)有

5、資產(chǎn)監(jiān)督管理部門(mén)同意，涉及國(guó)家秘密的應(yīng)經(jīng)保密行政管理部門(mén)同意。5.3 為了確保認(rèn)證的有效性，規(guī)避認(rèn)證風(fēng)險(xiǎn)，中心暫不接受由其他認(rèn)證機(jī)構(gòu)頒發(fā)的現(xiàn)行有效的信息安全管理體系認(rèn)證證書(shū)轉(zhuǎn)為本中心的認(rèn)證證書(shū)，所有認(rèn)證申請(qǐng)均按初次認(rèn)證程序要求執(zhí)行。5.4 ZDHY 制定公開(kāi)文件公開(kāi)認(rèn)證過(guò)程的適當(dāng)信息，擬申請(qǐng)認(rèn)證的組織可以通過(guò) ZDHY 網(wǎng)站（）或聯(lián)系電話(huà)，下載或索取2/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日Z(yǔ)DHY 的公開(kāi)文件，了解 ISMS 認(rèn)證的基本要求及相關(guān)信息，符合認(rèn)證基本要求的組織即可向 ZDHY 提交認(rèn)證申請(qǐng)。5.5 申請(qǐng)組織的授權(quán)代表應(yīng)按要求向 ZDHY 提供認(rèn)證

6、申請(qǐng)書(shū)及其相關(guān)資料，包括以下必要的信息：（1）對(duì)申請(qǐng) ISMS 認(rèn)證范圍涉及的業(yè)務(wù)活動(dòng)的描述，包括組織采用影響符合性的外包過(guò)程及相關(guān)內(nèi)外部的接口關(guān)系說(shuō)明；（2）申請(qǐng)組織的相關(guān)詳細(xì)情況，包括其名稱(chēng)、場(chǎng)所（包括臨時(shí)場(chǎng)所）的地址、過(guò)程和運(yùn)作的重要方面、人力資源和技術(shù)資源、職能、關(guān)系以及班次；（3）申請(qǐng)組織任何相關(guān)的法律義務(wù)，包括： 取得國(guó)家工商行政管理部門(mén)或有關(guān)機(jī)構(gòu)注冊(cè)登記的法人資格或其組成部分（如工商營(yíng)業(yè)執(zhí)照、事業(yè)單位法人證書(shū)或社會(huì)團(tuán)體法人登記證書(shū)）； 取得相關(guān)法規(guī)規(guī)定的行政許可文件（適用時(shí)）； 從事的業(yè)務(wù)活動(dòng)符合我國(guó)相關(guān)法律法規(guī)、 標(biāo)準(zhǔn)和有關(guān)規(guī)范的要求；（4）已按照適用的認(rèn)證依據(jù)標(biāo)準(zhǔn)要求，建立和

7、實(shí)施了文件化的ISMS，且體系有效運(yùn)行時(shí)間超過(guò) 3 個(gè)月；（5）已策劃并實(shí)施完成內(nèi)部審核和管理評(píng)審；（6）申請(qǐng)組織向中心說(shuō)明適用的關(guān)于 ISMSITSMS 認(rèn)證機(jī)構(gòu)的資質(zhì)、誠(chéng)信守法記錄或認(rèn)證人員身份背景的要求，以及適用的與保守國(guó)家秘密或維護(hù)國(guó)家安全有關(guān)的法律法規(guī)要求，并即時(shí)更新該說(shuō)明，以便中心判斷其是否具備對(duì)該申請(qǐng)組織實(shí)施認(rèn)證活動(dòng)的資格或條件。（7）是否接受過(guò)與擬認(rèn)證的管理體系有關(guān)的咨詢(xún)，如果接受過(guò)，由誰(shuí)提供咨詢(xún)。6 申請(qǐng)受理6.1 申請(qǐng)?jiān)u審6.1.1 ZDHY 確認(rèn)收到的認(rèn)證申請(qǐng)資料是否齊全，并對(duì)認(rèn)證申請(qǐng)及相關(guān)文件化信息進(jìn)行評(píng)審，必要時(shí)，要求申請(qǐng)組織補(bǔ)充信息。6.1.2 在申請(qǐng)?jiān)u審后， ZD

8、HY 決定是否受理認(rèn)證申請(qǐng)。如果拒絕認(rèn)證申請(qǐng)會(huì)清楚告知申請(qǐng)組織被拒絕的原因。6.2 簽訂認(rèn)證合同3/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日Z(yǔ)DHY 決定受理認(rèn)證申請(qǐng)后， 在實(shí)施認(rèn)證審核前，ZDHY 與申請(qǐng)組織簽訂具有法律效力的書(shū)面認(rèn)證合同。7 初次認(rèn)證審核初次 ISMS 認(rèn)證審核分為兩個(gè)階段實(shí)施，即第一階段和第二階段審核。7.1 第一階段審核7.1.1 第一階段審核的目的是通過(guò)了解受審核組織的 ISMS 及其現(xiàn)場(chǎng)運(yùn)作，確定受審核組織為第二階段審核的準(zhǔn)備情況，并為策劃第二階段審核提供關(guān)注重點(diǎn)。第一階段審核在申請(qǐng)組織的現(xiàn)場(chǎng)進(jìn)行，并至少包含以下審核內(nèi)容：（1）獲取受審

9、核組織的 ISMS 設(shè)計(jì)的文件，包括認(rèn)證依據(jù)標(biāo)準(zhǔn)所要求的文件，充分了解在組織環(huán)境下所進(jìn)行的 ISMS 設(shè)計(jì)、風(fēng)險(xiǎn)評(píng)估和處置（包括所確定的控制）、信息安全方針和目標(biāo)，初步評(píng)價(jià)其與依據(jù)標(biāo)準(zhǔn)的符合性；注：當(dāng)受審核組織由于信息安全的原因在申請(qǐng)?jiān)u審階段不能提供給 ZDHY 足夠的信息時(shí)，ZDHY 將通過(guò)第一階段審核在現(xiàn)場(chǎng)補(bǔ)充對(duì)上述信息的確認(rèn)，并完成申請(qǐng)?jiān)u審任務(wù)。這種情況下，ZDHY 會(huì)增加第一階段現(xiàn)場(chǎng)審核時(shí)間。（2）評(píng)價(jià) ISMS 覆蓋的運(yùn)作場(chǎng)所和現(xiàn)場(chǎng)的具體情況，并與受審核組織的相關(guān)人員進(jìn)行討論，確定第二階段審核的準(zhǔn)備情況；（3）審核受審核組織理解和實(shí)施認(rèn)證依據(jù)標(biāo)準(zhǔn)要求的情況，特別是對(duì) ISMS 的關(guān)鍵

10、績(jī)效、過(guò)程、目標(biāo)和運(yùn)作的識(shí)別情況；（4）收集關(guān)于受審核組織的 ISMS 范圍的必要信息，包括過(guò)程、場(chǎng)所及控制程度、適用的法律法規(guī)要求和遵守情況；（5）審核第二階段審核所需資源的配置情況，并與受審核組織商定第二階段審核的詳細(xì)安排；（6）結(jié)合認(rèn)證依據(jù)標(biāo)準(zhǔn)或其他規(guī)范性文件充分了解受審核組織的ISMS 和現(xiàn)場(chǎng)運(yùn)作，以便為策劃第二階段提供關(guān)注點(diǎn)；（7）評(píng)價(jià)受審核組織的 ISMS 的運(yùn)行情況，是否有足夠的證據(jù)證明其審核 ISMS 已有效運(yùn)行超過(guò) 3 個(gè)月，并實(shí)施了內(nèi)部審核與管理評(píng)審，以便證明已為第二階段做好準(zhǔn)備。7.1.2 ZDHY 應(yīng)將第一階段目的是否達(dá)到、第二階段是否準(zhǔn)備就緒的書(shū)面結(jié)果告知受審核組織，

11、包括識(shí)別任何引起關(guān)注的、在第二階段審4/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日核中可能被判定為不符合的問(wèn)題。如果第一階段審核提出影響實(shí)施第二階段審核的問(wèn)題，這些問(wèn)題應(yīng)在第二階段審核前得到解決7.1.3 ZDHY 在確定第一階段和第二階段的間隔時(shí)間時(shí)，需考慮受審核組織解決第一階段識(shí)別的任何需關(guān)注問(wèn)題所需的時(shí)間。7.1.4 第一階段的結(jié)果可能導(dǎo)致推遲或取消第二階段。如果受審核組織發(fā)生任何將影響 ISMS/ITSMS 的重要變更，ZDHY 考慮是否有必要重復(fù)整個(gè)或部分第一階段。7.2 第二階段審核第二階段審核的目的是評(píng)價(jià)受審核組織 ISMS 的實(shí)施情況符合性和有效性，

12、確認(rèn)受審核組織遵守自身的方針、策略和規(guī)程。第二階段審核在受審核組織現(xiàn)場(chǎng)進(jìn)行，并至少覆蓋以下審核內(nèi)容：（1）受審核組織 ISMS 實(shí)施與認(rèn)證依據(jù)標(biāo)準(zhǔn)要求的符合情況及其證據(jù)；（2）依據(jù)關(guān)鍵績(jī)效目標(biāo)和指標(biāo)，對(duì)績(jī)效進(jìn)行的監(jiān)視、測(cè)量、報(bào)告和評(píng)審；（3）受審核組織 ISMS 的能力以及在符合適用法律法規(guī)要求和合同要求方面的績(jī)效；（4）受審核組織對(duì) ISMS 覆蓋的過(guò)程和活動(dòng)的管理及控制情況；（5）受審核組織的內(nèi)部審核和管理評(píng)審的有效性；（6）針對(duì)受審核組織的方針的管理職責(zé)；（7）重點(diǎn)關(guān)注的審核內(nèi)容： 最高管理者的領(lǐng)導(dǎo)力和對(duì)信息安全方針與信息安全目標(biāo)的承諾； 認(rèn)證依據(jù)標(biāo)準(zhǔn)中的文件要求； 評(píng)估與信息安全有關(guān)的

13、風(fēng)險(xiǎn)，以及評(píng)估可產(chǎn)生一致的、有效的、在重復(fù)評(píng)估時(shí)可比較的結(jié)果； 基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程，確定控制目標(biāo)和控制； 信息安全績(jī)效和 ISMS 有效性，以及根據(jù)信息安全目標(biāo)對(duì)其進(jìn)行評(píng)審； 所確定的控制、適用性聲明、風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處置過(guò)程的結(jié)果、信息安全方針與目標(biāo)，它們相互之間的一致性； 控制的實(shí)施，考慮了外部環(huán)境、內(nèi)部環(huán)境與相關(guān)的風(fēng)險(xiǎn)，以及5/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日組織對(duì)信息安全過(guò)程和控制的監(jiān)視、測(cè)量與分析，以確定控制是否得以實(shí)施、有效并達(dá)到其所規(guī)定的目標(biāo)； 方案、過(guò)程、規(guī)程、記錄、內(nèi)部審核和對(duì) ISMS 有效性的評(píng)審，以確保其可被追溯至管理決定和信

14、息安全方針與目標(biāo)。7.3 初次認(rèn)證的審核結(jié)論審核組對(duì)在第一階段和第二階段審核中收集的所有信息和證據(jù)進(jìn)行分析，以評(píng)審審核發(fā)現(xiàn)并就審核結(jié)論達(dá)成一致。8 現(xiàn)場(chǎng)審核實(shí)施8.1 由代表 ZDHY 的審核組實(shí)施現(xiàn)場(chǎng)審核，要求受審核組織證實(shí)對(duì)信息安全相關(guān)風(fēng)險(xiǎn)的評(píng)估與 ISMS 范圍內(nèi)的 ISMS 運(yùn)行是相關(guān)的和充分的，確定受審核組織識(shí)別、檢查和評(píng)價(jià)信息安全相關(guān)風(fēng)險(xiǎn)的規(guī)程及其實(shí)施結(jié)果是否與方針、目標(biāo)和指標(biāo)相一致，還應(yīng)確定用于風(fēng)險(xiǎn)評(píng)估的規(guī)程是否健全并得到正確實(shí)施。8.2 審核組在現(xiàn)場(chǎng)審核前，通過(guò)審查受審核組織的 ISMS 的文件、與受審核組織溝通，了解受審核組織的有關(guān)信息，制定審核計(jì)劃，確認(rèn)審核安排，說(shuō)明首末次

15、會(huì)議議程。8.3 審核組按照審核計(jì)劃中審核內(nèi)容和日程安排實(shí)施審核，在審核現(xiàn)場(chǎng)與受審核組織的管理層召開(kāi)正式的首次會(huì)議， 告知雙方的職責(zé)和義務(wù)，介紹審核安排并解釋審核活動(dòng)和方式。8.4 審核組在審核現(xiàn)場(chǎng)活動(dòng)中，通過(guò)與過(guò)程和活動(dòng)的崗位人員面談、查閱文件化信息、觀察產(chǎn)品和服務(wù)形成過(guò)程、活動(dòng)等適當(dāng)方法，抽樣收集并驗(yàn)證有關(guān)的信息，形成審核證據(jù)，確定審核發(fā)現(xiàn)。在末次會(huì)議前，審核組對(duì)照審核目的和審核準(zhǔn)則，審查審核發(fā)現(xiàn)和審核中獲得的適用信息，就審核結(jié)論和必要的后續(xù)跟蹤活動(dòng)達(dá)成一致。8.5 審核組及時(shí)與受審核方溝通，溝通的內(nèi)容包括：（1）通報(bào)審核進(jìn)程；（2）確認(rèn)審核發(fā)現(xiàn)中的不符合事實(shí)；（3）解決與審核證據(jù)或?qū)徍税l(fā)

16、現(xiàn)分歧意見(jiàn)；（4）當(dāng)審核發(fā)現(xiàn)表明不能達(dá)到審核目的時(shí)，應(yīng)說(shuō)明理由，商定后續(xù)措施；（5）在末次會(huì)議前，審核組長(zhǎng)與受審核組織管理層溝通現(xiàn)場(chǎng)審核的信息，確認(rèn)審核結(jié)論，并商定后續(xù)措施的安排；6/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日8.6 在現(xiàn)場(chǎng)審核結(jié)束前，審核組與受審核組織的管理層召開(kāi)正式的末次會(huì)議，提出審核發(fā)現(xiàn)（包括不符合）和審核結(jié)論（包括關(guān)于認(rèn)證的推薦性意見(jiàn)），并就不符合的糾正和糾正措施回應(yīng)的時(shí)間表達(dá)成一致。8.7 審核組如果需要改變審核目的和范圍或終止審核時(shí)，應(yīng)經(jīng)ZDHY 評(píng)審和批準(zhǔn)后實(shí)施。對(duì)終止審核的項(xiàng)目，審核組應(yīng)將已開(kāi)展的工作情況形成報(bào)告， ZDHY 將此報(bào)告

17、及終止審核的原因提交受審核組織。9 審核報(bào)告9.1 審核組長(zhǎng)負(fù)責(zé)編制審核報(bào)告，審核報(bào)告應(yīng)準(zhǔn)確、簡(jiǎn)明和清晰地描述審核實(shí)施的主要內(nèi)容，以及提出不符合的糾正和糾正措施有效性驗(yàn)證結(jié)果、審核結(jié)論（包括關(guān)于認(rèn)證的推薦性意見(jiàn)） 。在審核結(jié)束后，將審核報(bào)告和相關(guān)的審核記錄、不符合報(bào)告及糾正措施證實(shí)性文件化信息提交 ZDHY，用以支持 ZDHY 作出認(rèn)證決定。9.2 ZDHY 享有對(duì)審核報(bào)告的所有權(quán)。經(jīng) ZDHY 批準(zhǔn)后，向受審核組織提供審核報(bào)告。受審核組織應(yīng)妥善保管審核報(bào)告、審核計(jì)劃、不符合報(bào)告及糾正措施證據(jù)等文件化信息。10 認(rèn)證決定10.1 ZDHY 對(duì)審核組提交的審核報(bào)告、不符合的糾正和糾正措施及實(shí)施證

18、據(jù)等信息進(jìn)行審查，確定認(rèn)證要求滿(mǎn)足程度和認(rèn)證范圍，接受和驗(yàn)證了不符合的糾正和糾正措施。10.2 如果在第二階段結(jié)束后 6 個(gè)月內(nèi)，不符合的糾正和糾正措施不能得到審核組或 ZDHY 接受和驗(yàn)證，則審核組在推薦認(rèn)證前要再實(shí)施一次第二階段審核。10.3 在對(duì)審核組提供的信息有效審查的基礎(chǔ)上，綜合考慮審核組關(guān)于認(rèn)證的推薦性意見(jiàn)和其它來(lái)源獲得的補(bǔ)充信息，做出認(rèn)證決定。10.4 ZDHY 認(rèn)為申請(qǐng)組織具備充分的證據(jù)證實(shí)管理評(píng)審和 ISMS內(nèi)部審核的安排已經(jīng)實(shí)施，并且保持有效，在認(rèn)證范圍內(nèi)已滿(mǎn)足授予認(rèn)證資格條件，做出同意授予認(rèn)證的決定。經(jīng) ZDHY 主任批準(zhǔn)后，向申請(qǐng)組織頒發(fā) ISMS 認(rèn)證證書(shū)和相關(guān)文件，

19、并要求獲證組織按 ZDHY 要求正確使用認(rèn)證證書(shū)、標(biāo)志和向 ZDHY 通報(bào)相關(guān)信息。10.5 對(duì)于不符合認(rèn)證要求的申請(qǐng)人，ZDHY 以書(shū)面的形式告知其不能通過(guò)認(rèn)證的原因。11 認(rèn)證證書(shū)7/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日ISMS 認(rèn)證證書(shū)有效期一般為 3 年。認(rèn)證證書(shū)內(nèi)容包含以下信息：（1）獲證組織名稱(chēng)、注冊(cè)地址和統(tǒng)一社會(huì)信用代碼（組織機(jī)構(gòu)代碼）；（2）ISMS 覆蓋的生產(chǎn)經(jīng)營(yíng)或服務(wù)的地址和業(yè)務(wù)范圍。若認(rèn)證的ISMS 覆蓋多場(chǎng)所，表述覆蓋的相關(guān)場(chǎng)所的名稱(chēng)和地址；（3）ISMS 符合認(rèn)證依據(jù)標(biāo)準(zhǔn)的表述；（4）證書(shū)編號(hào)；（5）ZDHY 名稱(chēng)和標(biāo)志、地址；（6）

20、證書(shū)簽發(fā)人、發(fā)證日期（即生效日期）及有效期的截止日期；（7）適用時(shí)，相關(guān)的認(rèn)可標(biāo)識(shí)及認(rèn)可注冊(cè)號(hào)；（8）證書(shū)查詢(xún)方式。12 證后監(jiān)督12.1 監(jiān)督活動(dòng)的方式監(jiān)督的目的是驗(yàn)證已被認(rèn)證的 ISMS 得到持續(xù)實(shí)施、考慮獲證組織運(yùn)作變化所引起的 ISMS 變化的影響，并確認(rèn)與認(rèn)證要求的持續(xù)符合。ZDHY 采用現(xiàn)場(chǎng)監(jiān)督審核和日常監(jiān)督相結(jié)合的方式。12.2 日常監(jiān)督活動(dòng)可包括：（1）獲證組織信息通報(bào)制度；（2）ZDHY 就認(rèn)證的有關(guān)方面詢(xún)問(wèn)獲證組織；（3）審查獲證客戶(hù)對(duì)其運(yùn)作的說(shuō)明（如宣傳材料、網(wǎng)頁(yè)）；（4）要求獲證客戶(hù)提供文件化信息（紙質(zhì)或電子介質(zhì)）；（5）其他監(jiān)視獲證客戶(hù)績(jī)效的方法（如關(guān)注國(guó)家有關(guān)部門(mén)發(fā)

21、布的信息公報(bào)、關(guān)注獲證組織相關(guān)方及媒體的信息等）。12.3 監(jiān)督審核12.3.1 監(jiān)督審核應(yīng)在獲證組織現(xiàn)場(chǎng)進(jìn)行，每次監(jiān)督審核的內(nèi)容包括：（1）所確定的控制（規(guī)程）變更、及其引起的適用性聲明（SoA）變更和其他任何變更（如資源、組織結(jié)構(gòu)、關(guān)鍵管理人員等） ；（2）控制的實(shí)施和有效性；（3）ISMS 在實(shí)現(xiàn)獲證組織信息安全方針、目標(biāo)和 ISMS 預(yù)期結(jié)果方面的有效性；（4）內(nèi)部審核和管理評(píng)審；（5）申訴和投訴的處理；（6）為持續(xù)改進(jìn)而策劃的活動(dòng)的進(jìn)展；8/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日（7）對(duì)上次審核中確定的不符合所采取的措施；（8）對(duì)與相關(guān)信息安全法律法規(guī)

22、的符合性進(jìn)行定期評(píng)價(jià)與評(píng)審的規(guī)程的運(yùn)行情況；（9）認(rèn)證證書(shū)和標(biāo)志的使用和（或）任何其他對(duì)認(rèn)證資格的引用。12.3.2 為使現(xiàn)場(chǎng)審核活動(dòng)能夠觀察到 ISMS 范圍內(nèi)的業(yè)務(wù)活動(dòng)情況，現(xiàn)場(chǎng)審核應(yīng)安排在認(rèn)證范圍覆蓋的業(yè)務(wù)活動(dòng)正常運(yùn)行時(shí)進(jìn)行。 由于獲證組織業(yè)務(wù)運(yùn)作時(shí)間（季節(jié)性）特點(diǎn)，在每次監(jiān)督審核時(shí)難以覆蓋所有業(yè)務(wù)活動(dòng)的，在認(rèn)證證書(shū)有效期內(nèi)的監(jiān)督審核必須覆蓋 ISMS 認(rèn)證范圍內(nèi)的所有業(yè)務(wù)活動(dòng)。12.3.3 監(jiān)督審核的頻次在證書(shū)有效期內(nèi)，獲證組織須接受監(jiān)督審核。第一次監(jiān)督審核的時(shí)間為自初次認(rèn)證決定日期（認(rèn)證證書(shū)的發(fā)證日期）起不超過(guò) 12 個(gè)月。第二次及以后監(jiān)督審核時(shí)間間隔自上次監(jiān)督審核日期起不超過(guò) 12

23、 個(gè)月；即正常情況，每年須接受一次監(jiān)督審核。若發(fā)生下述情況則需增加監(jiān)督頻次。必要時(shí)，安排提前較短時(shí)間通知的審核：（1）獲證組織對(duì) ISMS 進(jìn)行了重大變更；（2）有足夠信息表明獲證組織發(fā)生了組織機(jī)構(gòu)、場(chǎng)所、業(yè)務(wù)活動(dòng)變更等影響到其認(rèn)證基礎(chǔ)的更改；（3）獲證組織出現(xiàn)相關(guān)方提出對(duì) ISMS 運(yùn)行效果的投訴未回應(yīng)時(shí)；（4）對(duì)被暫停認(rèn)證資格的獲證組織進(jìn)行追蹤；（5）其他需要考慮的情況。12.4 ZDHY 根據(jù)現(xiàn)場(chǎng)監(jiān)督審核和日常監(jiān)督的結(jié)果， 對(duì)獲證組織作出保持、暫停、或撤銷(xiāo)其認(rèn)證資格的決定，并以書(shū)面形式告知獲證組織。13 再認(rèn)證13.1 再認(rèn)證目的是驗(yàn)證作為一個(gè)整體的組織 ISMS 全面的持續(xù)符合性和有效

24、性，以及認(rèn)證范圍的持續(xù)相關(guān)性和適宜性。13.2 ISMS 認(rèn)證證書(shū)有效期截止日期前 4 個(gè)月，需要延續(xù)認(rèn)證有效期的獲證組織必須向 ZDHY 提出再認(rèn)證申請(qǐng)， ZDHY 按照第 6 條規(guī)定要求實(shí)施再認(rèn)證申請(qǐng)?jiān)u審。13.3 ZDHY 在前認(rèn)證證書(shū)有效期截止日期前安排再認(rèn)證審核， 再認(rèn)證審核按照第 7 條規(guī)定的初次認(rèn)證審核程序要求實(shí)施。9/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日13.4 當(dāng)管理體系、獲證組織或管理體系的運(yùn)作環(huán)境（如法律的變更）無(wú)重大變更時(shí)，再認(rèn)證審核活動(dòng)可省略第一階段，否則再認(rèn)證審核活動(dòng)需要進(jìn)行第一階段。13.5 根據(jù)再認(rèn)證審核的目的，再認(rèn)證審核包括針

25、對(duì)下列方面的現(xiàn)場(chǎng)審核：（1）結(jié)合內(nèi)部和外部變更來(lái)看的整個(gè) ISMS 的有效性，以及認(rèn)證范圍的持續(xù)相關(guān)性和適宜性；（2）經(jīng)證實(shí)的對(duì)保持 ISMS 有效性并改進(jìn)管理體系，以提高整體績(jī)效的承諾；（3）ISMS 在實(shí)現(xiàn)獲證組織信息安全目標(biāo)和 ISMS 預(yù)期結(jié)果方面的有效性。13.6 對(duì)于審核組提出的不符合，受審核組織要在規(guī)定的時(shí)限內(nèi)實(shí)施糾正和糾正措施，并確保在認(rèn)證證書(shū)有效期截止日期前得到審核組和ZDHY 對(duì)實(shí)施有效的驗(yàn)證。13.7 根據(jù)再認(rèn)證審核的結(jié)果，以及認(rèn)證周期內(nèi) ISMS 評(píng)價(jià)結(jié)果和認(rèn)證相關(guān)方投訴的信息， ZDHY 分別做出以下的認(rèn)證決定：13.7.1 在認(rèn)證證書(shū)有效期截止日期前， ZDHY 接

26、受和驗(yàn)證了糾正和糾正措施，且認(rèn)為符合認(rèn)證注冊(cè)授予條件，做出同意再認(rèn)證的決定，換發(fā)認(rèn)證證書(shū)。新認(rèn)證證書(shū)發(fā)證日期為再認(rèn)證決定日期，有效期 3 年。如果申請(qǐng)?jiān)僬J(rèn)證組織提出要求，新認(rèn)證證書(shū)的有效期截止日期與前認(rèn)證證書(shū)的有效期截止日期相距 3 年。對(duì)在 ZDHY 初次認(rèn)證以來(lái)未中斷過(guò)的再認(rèn)證證書(shū)，可注明 ZDHY 初次認(rèn)證證書(shū)的發(fā)證日期。13.7.2 在認(rèn)證證書(shū)有效期截止日期前未能完成再認(rèn)證審核或不能驗(yàn)證對(duì)不符合實(shí)施的糾正和糾正措施，ZDHY 做出不能延續(xù)認(rèn)證的決定，同時(shí)告知獲證組織并解釋后果。13.7.3 在認(rèn)證證書(shū)有效期截止日期之后 6 個(gè)月內(nèi)，完成未盡的再認(rèn)證活動(dòng)，符合認(rèn)證注冊(cè)授予條件 ZDHY

27、做出同意恢復(fù)再認(rèn)證的決定。，重新頒發(fā)認(rèn)證證書(shū)的發(fā)證日期為恢復(fù)再認(rèn)證決定日期， 新認(rèn)證證書(shū)的有效期截止日期與前認(rèn)證證書(shū)的有效期截止日期相距 3 年，即重新頒發(fā)的認(rèn)證證書(shū)有效期不足 3 年。13.7.4 在認(rèn)證證書(shū)有效期截止日期之后 6 個(gè)月內(nèi)，不能完成再認(rèn)證審核并接受和驗(yàn)證了糾正和糾正措施， ZDHY 做出拒絕再認(rèn)證的決定。10/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日如果原獲證組織考慮獲得認(rèn)證資格，需要按照初次認(rèn)證的程序再次提出認(rèn)證申請(qǐng)。14 擴(kuò)大或縮小認(rèn)證范圍14.1 擴(kuò)大認(rèn)證范圍14.1.1 在認(rèn)證證書(shū)有效期內(nèi)，需要擴(kuò)大認(rèn)證范圍的獲證組織應(yīng)向ZDHY 正式提交

28、擴(kuò)大認(rèn)證范圍的申請(qǐng)和相關(guān)文件化信息。14.1.2 ZDHY 針對(duì)獲證組織提出擴(kuò)大認(rèn)證范圍的申請(qǐng)和相關(guān)文件化信息進(jìn)行評(píng)審，確定予以擴(kuò)大的決定所需的審核活動(dòng)，該審核可與監(jiān)督審核同時(shí)進(jìn)行。14.1.3 經(jīng) ZDHY 實(shí)施相關(guān)審核和審定，確定獲證組織在申請(qǐng)擴(kuò)大認(rèn)證范圍內(nèi)已滿(mǎn)足批準(zhǔn)認(rèn)證資格的條件，同意批準(zhǔn)擴(kuò)大認(rèn)證范圍，換發(fā)認(rèn)證證書(shū)。認(rèn)證證書(shū)的證書(shū)號(hào)和有效期截止日期保持不變，并注明原證書(shū)發(fā)證日期。14.2 縮小認(rèn)證范圍14.2.1 在認(rèn)證證書(shū)有效期內(nèi)，需要縮小認(rèn)證范圍的獲證組織應(yīng)向ZDHY 正式提交縮小認(rèn)證范圍的申請(qǐng)，或由 ZDHY 審核組通過(guò)審核提出縮小獲證組織認(rèn)證范圍的建議， 并提供理由和證據(jù)。ZDH

29、Y 的審定意見(jiàn)和日常監(jiān)督結(jié)果也可作為認(rèn)證范圍縮小的信息來(lái)源和理由。 經(jīng)認(rèn)證雙方溝通后達(dá)成一致意見(jiàn)。需要時(shí)，獲證組織與 ZDHY 補(bǔ)充簽訂認(rèn)證合同/協(xié)議。14.2.2 經(jīng) ZDHY 審定，決定獲證組織縮小認(rèn)證范圍后不會(huì)對(duì)仍保持的認(rèn)證范圍產(chǎn)生影響，滿(mǎn)足縮小認(rèn)證范圍批準(zhǔn)認(rèn)證資格的條件，同意批準(zhǔn)縮小認(rèn)證范圍，換發(fā)認(rèn)證證書(shū)或附件。認(rèn)證證書(shū)的證書(shū)號(hào)和有效期截止日期保持不變，并注明原證書(shū)發(fā)證日期。14.2.3 獲證組織在收到換發(fā)的認(rèn)證證書(shū)時(shí)必須交回原認(rèn)證證書(shū)。 并按照 ZDHY 的要求，正確使用縮小 /變更范圍后的認(rèn)證證書(shū)，同時(shí)按縮小/變更的認(rèn)證范圍修改其廣告及相關(guān)宣傳材料。15 變更認(rèn)證證書(shū)15.1 當(dāng)認(rèn)

30、證證書(shū)所覆蓋的獲證組織名稱(chēng)、注冊(cè)地址、業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）等內(nèi)容發(fā)生變化，獲證組織應(yīng)按照 ZDHY 的相關(guān)要求，提出認(rèn)證證書(shū)變更申請(qǐng)。15.2 對(duì)獲證組織名稱(chēng)、地址信息發(fā)生變化的認(rèn)證證書(shū)變更申請(qǐng)， 經(jīng)11/14北京中大華遠(yuǎn)認(rèn)證中心 GK-37公開(kāi)文件生效日期：二一七年十月一日申請(qǐng)?jiān)u審確認(rèn)，必要時(shí)，由審核組現(xiàn)場(chǎng)審核并確認(rèn)。當(dāng)證實(shí)組織名稱(chēng)、地址信息變更符合認(rèn)證授予條件，ZDHY 做出同意變更認(rèn)證證書(shū)的決定。15.3 對(duì)獲證組織認(rèn)證證書(shū)所覆蓋的業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）發(fā)生變更的認(rèn)證證書(shū)變更申請(qǐng)，通過(guò)申請(qǐng)?jiān)u審安排審核組進(jìn)行現(xiàn)場(chǎng)審核并確認(rèn)，變更的業(yè)務(wù)范

31、圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）符合認(rèn)證授予條件， ZDHY 做出同意變更認(rèn)證證書(shū)的決定。15.4 通過(guò)監(jiān)督審核和再認(rèn)證審核，發(fā)現(xiàn)認(rèn)證證書(shū)所覆蓋的業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）發(fā)生變化，由審核組在現(xiàn)場(chǎng)審核中確認(rèn)并報(bào) ZDHY 進(jìn)行評(píng)審和審查，變更的業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）能夠符合認(rèn)證授予條件， ZDHY做出同意變更認(rèn)證證書(shū)的決定。15.5 在認(rèn)證證書(shū)有效期內(nèi)，因證書(shū)所覆蓋的獲證組織名稱(chēng)、業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）等內(nèi)容變更而換發(fā)認(rèn)證證書(shū)，其證書(shū)號(hào)和認(rèn)證有效期截止日期保持不變，并注明原證書(shū)發(fā)證日期。15.6 當(dāng)認(rèn)證證書(shū)所覆

32、蓋的獲證組織名稱(chēng)、注冊(cè)地址、業(yè)務(wù)范圍、場(chǎng)所地址、認(rèn)證要求（包括認(rèn)證標(biāo)準(zhǔn)換版）等內(nèi)容發(fā)生涉及擴(kuò)大或縮小認(rèn)證范圍，ZDHY 按照第 14 條要求執(zhí)行。16 暫停、恢復(fù)認(rèn)證證書(shū)16.1 暫停認(rèn)證證書(shū)16.1.1 在認(rèn)證證書(shū)有效期內(nèi)，通過(guò)證后監(jiān)督、審核、審定、體系評(píng)價(jià)結(jié)果和相關(guān)方投訴信息，獲證組織發(fā)生不能保持認(rèn)證的情況， ZDHY提出對(duì)獲證組織暫停全部或部分認(rèn)證范圍內(nèi)認(rèn)證資格的建議， 并提供理由和證據(jù)。必要時(shí)， ZDHY 與獲證組織溝通，核實(shí)證據(jù)。16.1.2 經(jīng) ZDHY 審定，確認(rèn)獲證組織在認(rèn)證范圍內(nèi)全部或部分不再持續(xù)滿(mǎn)足認(rèn)證要求，但仍然有可能在短期內(nèi)采取糾正措施的，滿(mǎn)足暫停認(rèn)證資格的條件，同意批準(zhǔn)暫停全部或部分認(rèn)證范圍的認(rèn)證資格，暫停期限為六個(gè)月。并向獲證組織頒發(fā)暫停使用認(rèn)證證書(shū)的通知并在ZDHY 網(wǎng)站上公布。16.1.3 被暫停認(rèn)證資格的獲證組織要按照 ZDHY 的要求，從暫停決定之日起停止使用認(rèn)證證書(shū)和認(rèn)證標(biāo)志， 以及任何其他對(duì)認(rèn)證資格的引12/14北京中大華遠(yuǎn)認(rèn)證中