信息安全管理体系认证从业条件和申请材料要求.doc

信息安全管理体系(ISMS)认证从业条件和申请材料要求 一、认证依据 GB/T22080-2008《信息技术 安全技术 信息安全管理体系 要求》。 二、从业条件 1.申请者是国家认监委批准的认证机构，并具有三年以上质量管理体系认证从业资格； 2.有10名以上具备ISMS认证职业资格的专职审核员，专职审核员取得ISMS相关专业学士以上学位。 专职审核员应符合下列条件： (1)取得国家注册ISMS审核员资格； (2)是认证机构的正式职员。 3.在一年内没有违法违规行为。 4.与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007《合格评定 管理体系审核认证机构的要求》，且在提交申请前两个年度内的认可评审中没有严重不符合项; 5.若申请者是外商投资认证机构，其国外投资者应有三年以上从事ISMS认证的经历且在ISMS认证领域获得所在国家或地区认可机构的认可。 三、申请材料目录 1 申请书及基本条件情况 1.1认证机构申请书（申请扩大认证业务专用，格式见附件1） 1.2企业法人营业执照副本（或事业单位法人证书） 1.3 股东名单及出资额 1.6 办公场所的内部平面图（应标注大致尺寸和面积，管理层人员及各业务部门的办公位置） 1.7 开展认证业务的信息管理系统的简介 1.8已开展认证业务的项目，每个项目发出有效认证证书的数量 1.9获认可机构颁发的认可证书 1.10国家相关部门颁发的保密资质证书(如有则提交) 2 现有组织架构及运行情况 2.1组织结构文件：包含最高管理层和工作部门的组织结构图及各自任务、责任和权力的说明 2.2维护公正性委员会的成员名单及描述该委员会的组成、权限、任务、权利、成员能力和责任的文件 2.3维护公正性委员会最近一次履行职能的记录（如会议纪要等） 2.4 最近一次管理评审及内审报告 2.5认可机构最近一次对申请者评审的报告(获多个认可机构颁发证书的，应包含每个认可机构的评审报告) 3 符合ISMS相关的认证认可要求的管理制度文件 3.1 开展ISMS认证的可行性报告，基本内容应该包含：认证依据概述、国家相关政策及法律法规的要求、认证市场分析、国内外认证现状、申请者技术能力分析及人力资源配备、进入该领域开展认证的优势等 3.3开展ISMS认证的质量手册 3.4 开展ISMS认证的程序文件 3.5 开展ISMS认证的作业指导书 3.6拟签发ISMS认证证书的样本 4 申请者的人员资料 4.1 认证机构管理层人员基本信息表（按附件2的格式填写） 4.2 不少于10人的具有国家注册ISMS认证审核员资格的专职审核员名单（该名单将从《认证认可行政审批在线服务系统》相关页面显示的申请者名下有相应职业资格的人员中点选，确定后自动生成名单） 4.2.1每位专职审核员的身份证(非中国内地居民为就业证) 4.2.2 每位专职审核员的国家注册ISMS认证审核员资格证明 4.2.3 每位专职审核员的劳动合同 4.2.4每位专职审核员是申请者正式职员的证明(写明工作单位是申请者的社会保险凭证、主管人事部门出具的事业单位在编证明或者写明工作单位是申请者的《外国人就业证》或《台港澳人员就业证》) 4.2.5每位专职审核员的专职认证人员声明（按附件3的格式填写） 4.2.6每位专职审核员在ISMS相关专业的学位证书(ISMS相关专业表见附件4) 4.2.7每位专职审核员从事过与信息技术有关的质量管理体系(即质量管理体系认证业务范围分类表中第33大类) 认证的《审核经历证明表》 5 若申请者属于外商投资认证机构，应提交境外投资者的下列文件：（若文件属于中文以外的文字，相关文件需附中文译件） 5.1 境外投资者从事ISMS认证业务三年以上的证明（如三年前颁发的认证证书及相应审核记录资料，或者三年前已获得所在国家或地区的认可机构颁发的涵盖ISMS认证领域的认可证书） 5.2境外投资者获得所在国家或地区的认可机构颁发的涵盖ISMS认证领域的认可证书 5.3 一份境外投资者真实签发的ISMS认证证书彩色影印件 说明： 1.为适应《认证认可行政审批在线服务系统》要求，申请者应把申请材料制作成PDF格式的电子文件，上述材料目录中每个带点的编号项对应一个PDF格式文件(4.2项除外)；一个编号项中包含多份资料的，应制作成一个多页的PDF格式文件；证件或证书类资料的PDF格式文件应保持原件的色彩,申请者在提交申请期间应备好相关原件以备可能的核对。 2.专职审核员属于国有事业单位编制内人员的，申请材料中4.2.3项和4.2.4项中相关内容可用主管人事部门出具的在编证明代替劳动合同和社保证明。 3.专职审核员属于认证机构的出资方派驻人员（境外投资方派驻人员除外）的，申请材料中4.2.4项中相关内容可以是相关人员属于出资方正