ISO20000和ISO27001新领域认证取得计划方案.docVIP

ITSMS和ISMS新领域认证认可 资格取得计划 2013年认证中心工作计划要求，年底需实现新增认证领域至少一项。认证中心根据自身属于信息领域特点，决定开拓信息技术服务管理体系认证（以下简称“ITSMS”）和信息安全管理体系认证（以下简称“ISMS”）的新领域认证，以拓展新的业务增长点，进一步保障金融领域安全。 现将取得该两领域认证认可相关要求及工作计划总结如下。 一、认证资格取得条件 （一）认监委对认证机构通用要求 国家认监委发布的《认证机构管理办法》中第八条规定： 设立认证机构，应当具备下列条件： 1、具有固定的办公场所和必备设施； 2、具有符合认证认可要求的章程和管理制度；属于认证新领域的，还应当具有可行性研究报告； 3、注册资本不得少于人民币300万元；出资人符合国家有关法律法规以及相关规定要求，并提供相关资信证明； 4、具有10名以上相应领域执业资格和能力的专职认证人员； 5、认证机构董事长、总经理（主任）和管理者代表（以下统称高级管理人员）应当符合国家有关法律、法规以及国家质检总局、国家认监委相关规定要求，具备履行职务所必需的管理能力； 6、其他法律法规规定的条件。 （二）认监委对信息技术服务管理体系(ITSMS)认证机构要求 国家认监委发布的《信息技术服务管理体系(ITSMS)认证从业条件和申请材料要求》中第三条从业条件规定： 符合下列条件的认证机构可以申请开展信息技术服务管理体系认证业务： 1、经国家认监委批准具有信息安全管理体系或其他信息技术相关领域的认证从业资格，或者有五年以上质量管理体系认证经历且颁发信息技术类质量管理体系认证证书200张以上。 2、在信息技术服务管理体系认证领域有10名以上专职审核员。专职审核员应符合下列条件： (1)是认证机构的正式职员；　　(2)有信息技术相关专业本科以上学历并取得相应的学位证书；或者有5年以上与信息技术相关的全职工作经历；　　(3)有从事信息安全管理体系或其他信息技术相关领域认证经历，或者有2年以上信息技术类质量管理体系认证经历； (4)取得信息技术服务管理体系认证领域国家注册审核员资格。 （三）认监委对信息安全管理体系认证机构要求 国家认监委发布的《信息安全管理体系(ISMS)认证从业条件和申请材料要求》中第二条从业条件规定： 1、申请者是国家认监委批准的认证机构，并具有三年以上质量管理体系认证从业资格； 2、有10名以上具备ISMS认证职业资格的专职审核员，专职审核员取得ISMS相关专业学士以上学位。 专职审核员应符合下列条件： (1)取得国家注册ISMS审核员资格； (2)是认证机构的正式职员。 3、在一年内没有违法违规行为。 4、与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007《合格评定 管理体系审核认证机构的要求》，且在提交申请前两个年度内的认可评审中没有严重不符合项; 5、若申请者是外商投资认证机构，其国外投资者应有三年以上从事ISMS认证的经历且在ISMS认证领域获得所在国家或地区认可机构的认可。 二、认可资格取得条件 中国合格评定国家认可委员会（以下简称CNAS）发布的《CNAS-CC01 管理体系认证机构要求》、《CNAS-CC17_2012《信息安全管理体系认证机构要求》、《CNAS-EC-027：2010 信息安全管理体系认证机构的认可说明》、《SC41信息技术服务管理体系认证机构认可方案（征求意见版）》分别对认证机构通用要求、ITSMS和ISMS认证机构要求做出认可规定。 考虑到中心已经是认证机构，故仅将中心欠缺的主要条件汇总如下： （一）ITSMS新增要求 1、ITSMS认证活动已被国家认监委批准； 已按照CNAS-CC01和CNAS-CC41建立了管理体系，且运行时间不少于6个月。 申请方应提供CNAS-RC01条款5.1.2规定的申请文件以及下列文件和信息： ITSMS认证活动国家认监委批准文件复印件； 已审核过的组织名单（对应到认证业务范围相应大类）； 自申请时间起6个月内计划实施的审核项目清单（对应到认证业务范围相应大类）； ISMS新增要求 1、申请认可的ISMS 认证机构（以下称为“申请方”）应具备CNAS-RC01 条款5.1.1规定的基本条件以及下列条件： a) ISMS 认证活动已被国家认监委批准； b) 已按照CNAS-CC01 和CNAS-CC17 建立了管理体系，且运行时间不少于6 个月。 3、申请方应提供CNAS-RC01:2006 条款5.1.2 规定的申请文件以及下列文件和信息： a) ISMS 认证活动国家认监委批准文件复印件； b) 已审核过的组织（对应到认证业务范围相应中类）； c) 自申请时间起6 个月内计划实施的审核（对应到认证业务范围相应中类）； 4、ISMS