信息安全服务资质证后监督实施指南.docVIP

中国信息安全测评中心 信息安全服务资质证后监督实施指南 发布日期：2011年1月 信息安全服务资质证后监督实施指南 目的 监督评审的目的是为了验证获取资质单位在证书有效期内是否能够持续地符合资质的要求。 概述 所有获证单位均须接受中国信息安全测评中心（以下简称CNITSEC）的证后监督。监督评审中如发现获证单位不能持续符合资质认定条件时，CNITSEC有权要求其限期采取纠正或纠正措施，情况严重时可立即予以暂停、撤销处理。 监督方式 CNITSEC将通过申诉系统、信息调查、现场见证、电话回访以及其他监督活动等方式来验证每个获证的单位的资质能力的有效性。 获证后，每年在证书签发之日前30天内，获证单位要向CNITSEC提交相应资质的《证后监督调查表》（调查表在CNITSEC网站上下载）。 CNITSEC会结合调查表调查情况，抽取一定比例单位安排现场评审。 在获取资质单位发生以下情况，CNITSEC可随时安排不定期监督评审或不定期的访问： a) 单位的名称、地址、法律地位和主要政策发生变化； b) 单位机构、高级管理和技术人员发生变更； c) 其他可能影响资质效力的活动和体系运行的变更； d）CNITSEC的资质审核要求发生变化； e）CNITSEC需要对投诉、其他情况反映进行调查时等。 现场监督审核 现场监督评审不需要获证单位提出申请，只要在接到《现场监督审核通知》（附现场审核计划）后，指定联系人并组织相关人员配合监督审核的实施。 有关评审要求和现场评审程序与初次认可相同，视具体情况可简化流程。 现场核查内容会在现场审核计划中说明，包括： 基本资格和基本能力每次现场评审必须查到，项目和单位管理能力、安全工程能力的核查项采用抽查的方式； 上次现场评审发现的不合格的整改效果检查； 公司发生的变化情况； 资质证书是否被正确使用； 投诉、其他反映情况等。 对于在现场评审中发现的不合格，评审组会明确给定一个整改期限，并告知不按要求整改的风险。 证书的处理 对在监督通过的获证单位，仍继续使用此证书；对于“暂停”的获证单位，不能继续使用该证书至其满足了要求为止。对“撤消”、“注销”资格的，应立即停止证书的使用，并按要求交回证书原件。 对证书的处理决定，会在中心的杂志、网站上作出相应的公告。 费用 现场监督活动所需费用，包括现场审核组成员交通、食宿费用等，由被评审方承担。 中国信息安全测评中心(CNITSEC) 信息安全服务资质变更实施指南 发布日期：2011年1月 第2页 共3页