业务连续性管理体系认证实施规则-中国信息安全认证中心.PDF

ISCCC-BCMS-001:2016 业务连续性管理体系认证实施规则 业务连续性管理体系认证实施规则 ISCCC-BCMS-001:2016 中国信息安全认证中心 发布日期：2016 年1 月20 日 实施日期：2016 年2 月1 日 ISCCC-BCMS-001:2016 业务连续性管理体系认证实施规则 目录 1. 适用范围 2 2. 认证依据 2 3. 术语和定义 2 3.1. 信息收集 2 3.2. 现场审核 2 3.3. 现场见证（验证） 2 4. 认证类别 2 5. 审核人员及审核组要求 2 6. 认证信息公开 2 7. 认证程序 3 7.1. 初次认证 3 7.2. 监督审核 6 7.3. 再认证 9 7.4. 管理体系结合审核 9 7.5. 特殊审核 9 7.6. 暂停、撤消认证或缩小认证范围 10 8. 认证证书 11 8.1. 证书内容 11 8.2. 证书编号 11 8.3. 对获证组织正确宣传认证结果的控制 12 9. 对获证组织的信息通报要求及响应 12 10. 附录A：审核时间 13 中国信息安全认证中心 第1 页 共14 页 ISCCC-BCMS-001:2016 业务连续性管理体系认证实施规则 1. 适用范围 本规则用于规范中国信息安全认证中心 （简称中心）开展业务连续性管理体系 （BCMS） 认证活动。 2. 认证依据 以国家标准GB/T 30146-2013/ISO/IEC22301:2012 《公共安全 业务连续性管理体系 要 求》为认证依据。 3. 术语和定义 3.1. 现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行 审核。 3.2. 现场见证 （验证） 现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处 置组织风险所实施的关键活动而进行的，对关键活动的执行过程进行跟踪见证；现场验证 是针对关键活动所采取的关键技术而进行的，以验证这些技术措施的功能能够得到实现。 3.3. 现场评价 现场评价包括现场审核和现场见证 （验证） 4. 认证类型 认证类型分为初次认证，监督审核和再认证。一个认证周期内至少进行一次现场见证 （验证）。为满足认证的需要，中心可以实施特殊审核，特殊审核可以采取现场审核和现场 见证（验证）等方式进行。 5. 审核人员及审核组要求 认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核 员资格，取得资格的审核员中心应对其进行专业能力评价，以确定其能够胜任所安排的审 核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增 强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。 技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性 事宜为审核员提供建议