信息安全服务资认证实施规则.pdf

信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25 发布 2018-06-01 实施 中国网络安全审查技术与认证中心 ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则 目 录 1  适用范围  2  2  认证依据  2  3  术语与定义  2  3.1  信息安全服务  2  3.2  自评估  错误!未定义书签。  3.3  现场审核  2  3.4  非现场审核  2  3.5  现场见证  错误!未定义书签。  3.6  特殊审核  2  4  审核人员及审核组要求  2  5  认证信息公开  3  6  认证程序  3  6.1  初次认证  3  6.1.1  认证申请  3  6.1.2  申请评审  3  6.1.3  建立审核方案  4  6.1.4  确定审核组  5  6.1.5  非现场审核  5  6.1.6  现场审核  6  6.1.7  现场见证（必要时）  7  6.1.8  认证决定  8  6.1.9  证书颁发  8  6.2  监督审核  8  6.2.1  频次和方式  8  6.2.2  信息收集  8  6.2.3  信息评审与审核方案维护  9  6.2.4  制定审核计划  9  6.2.5  审核实施  10  6.2.6  监督审核结论  10  6.2.7  认证决定  10  6.2.8  审核方案记录与变更  10  6.3  特殊审核  10  6.3.1  变更或扩大认证范围  10  6.3.2  审核方案记录与变更  11  7  信息通报  11  8  认证证书管理  11  8.1  证书有效期  11  8.2  暂停认证证书  12  8.3  撤销认证证书  12  8.4  证书变更  12  中国信息安全认证中心 第 I 页 ISCCC-SV-001:2017 信息安全服务资质认证实施规则 1 适用范围 本规则用于规范中国网络安全审查技术与认证中心（简称中心）开展信息安全服务资质认证活 动。 2 认证依据 以CCRC-ISV-C01 ：2018 《信息安全服务规范》为认证依据。 3 术语与定义 3.1 信息安全服务 由供应商、组织机构或人员执行的一个安全过程或任务。（ISO/IEC TR 15443-1:2005 《信息技术 安全技术 信息技术安全保障框架 第一部分：总揽和框架》） 3.2 自评估 申请方根据认证依据对自身的服务过程进行符合性评价，并进行评价证据的收集和分析，以确 定组织满足认证依据的程度。 3.3 现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。 3.4 非现场审核 中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动，通常以远程审核 工具、电话、视频、邮件等远程审核方式进行。 3.5 现场见证 现场见证是针对受审核方或获证组织为满足相关方利益诉求、