為促進(jìn)我國(guó)服務(wù)貿(mào)易產(chǎn)業(yè)發(fā)展,滿足社會(huì)相關(guān)業(yè)界對(duì)信息安全管理體系認(rèn)證服務(wù)的需求,根據(jù)《*人民共和國(guó)認(rèn)證認(rèn)可條例》的規(guī)定,*認(rèn)監(jiān)委決定正式開展信息安全管理體系認(rèn)證工作,現(xiàn)將相關(guān)事項(xiàng)公告如下:
一、認(rèn)證依據(jù)
信息安全管理體系認(rèn)證統(tǒng)一采用*人民共和國(guó)*標(biāo)準(zhǔn)GB/T22080-2008/ISO/IEC 27001:2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》。
二、資質(zhì)條件
符合下列條件的認(rèn)證機(jī)構(gòu)可以申請(qǐng)開展信息安全管理體系認(rèn)證業(yè)務(wù):
?。ㄒ唬┙?jīng)*認(rèn)監(jiān)委批準(zhǔn)并具有三年以上質(zhì)量管理體系認(rèn)證從業(yè)資格;
?。ǘ┰谛畔踩芾眢w系認(rèn)證領(lǐng)域有10名以上專職審核員。專職審核員應(yīng)符合下列條件:
1.與認(rèn)證機(jī)構(gòu)簽訂勞動(dòng)合同的正式職員;
2.有信息安全相關(guān)專業(yè)本科以上學(xué)歷并取得相應(yīng)的學(xué)位證書;
3.有從事與信息技術(shù)有關(guān)的質(zhì)量管理體系認(rèn)證經(jīng)歷;
4.三年內(nèi)沒(méi)有違反認(rèn)證人員管理相關(guān)規(guī)定的記錄;
5.取得信息安全管理體系認(rèn)證領(lǐng)域*注冊(cè)審核員資格(在信息安全管理體系認(rèn)證領(lǐng)域的*注冊(cè)審核員制度建立之前,具有*認(rèn)證認(rèn)可協(xié)會(huì)出具的信息安全管理體系認(rèn)證審核員能力確認(rèn)證明)。
(三)兩年內(nèi)沒(méi)有違反認(rèn)證認(rèn)可法規(guī)的記錄;
?。ㄋ模┡c信息技術(shù)有關(guān)的質(zhì)量管理體系認(rèn)證業(yè)務(wù)范圍的認(rèn)證能力符合GB/T 27021-2007《合格評(píng)定 管理體系審核認(rèn)證機(jī)構(gòu)的要求》,且在提交申請(qǐng)前兩個(gè)年度內(nèi)的認(rèn)可評(píng)審中沒(méi)有嚴(yán)重不符合項(xiàng);
?。ㄎ澹?認(rèn)監(jiān)委規(guī)定的其他條件。
三、審批程序
?。ㄒ唬┓蠗l件的認(rèn)證機(jī)構(gòu)通過(guò)《認(rèn)證認(rèn)可行政審批在線服務(wù)系統(tǒng)》提交申請(qǐng)。
?。ǘ?認(rèn)監(jiān)委按照法定程序?qū)Α墩J(rèn)證認(rèn)可行政審批在線服務(wù)系統(tǒng)》受理的申請(qǐng)進(jìn)行審核,符合從業(yè)條件的認(rèn)證機(jī)構(gòu)批準(zhǔn)后換發(fā)具有信息安全管理體系認(rèn)證資質(zhì)的《認(rèn)證機(jī)構(gòu)批準(zhǔn)書》,并在*認(rèn)監(jiān)委網(wǎng)站上公布。
(三)對(duì)獲準(zhǔn)開展信息安全管理體系認(rèn)證業(yè)務(wù)并具有*相關(guān)*頒發(fā)保密資質(zhì)證書的認(rèn)證機(jī)構(gòu),在《認(rèn)證機(jī)構(gòu)批準(zhǔn)書》中標(biāo)注其保密資質(zhì)信息。
?。ㄋ模┣捌讷@準(zhǔn)開展信息安全管理體系認(rèn)證試點(diǎn)工作的認(rèn)證機(jī)構(gòu),無(wú)需再次提交申請(qǐng)。*認(rèn)監(jiān)委將按照本公告第二條確定的條件對(duì)相關(guān)認(rèn)證機(jī)構(gòu)進(jìn)行審核,符合條件的換發(fā)《認(rèn)證機(jī)構(gòu)批準(zhǔn)書》并在網(wǎng)上公布相關(guān)信息;不符合條件的要求限期滿足資質(zhì)條件要求,逾期仍達(dá)不到的將注銷相應(yīng)的認(rèn)證資格。
四、工作要求
?。ㄒ唬?合格評(píng)定*認(rèn)可中心、*認(rèn)證認(rèn)可協(xié)會(huì)應(yīng)建立和完善信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可制度和審核員注冊(cè)制度,相應(yīng)制度經(jīng)*認(rèn)監(jiān)委批準(zhǔn)后,適時(shí)正式開展認(rèn)證機(jī)構(gòu)認(rèn)可和審核員注冊(cè)工作。
?。ǘ┇@準(zhǔn)開展信息安全管理體系認(rèn)證業(yè)務(wù)的認(rèn)證機(jī)構(gòu)應(yīng)按照統(tǒng)一要求及時(shí)向*認(rèn)監(jiān)委上報(bào)相關(guān)認(rèn)證信息。
二○○九年九月二十七日