數據安全風險管理認證實施方案
|
文件編號: |
CQMS-FN-27-026 |
|
發布日期: |
2021年10月27日 |
|
修訂日期: |
|
|
實施日期: |
2021年10月27日 |
目 錄
6 認證的批準、拒絕、保持、擴大、縮小、暫停、恢復和撤銷的條件和程序.................... 5
1 適用范圍
本認證方案適用于方圓標志認證集團有限公司(以下簡稱:CQM)實施數據安全風險管理認證,滿足第三方認證制度要求,作為提供認證服務的規范。必要時,在認證合同中補充相關的技術要求。
2 認證模式
CQM首先對受審核方的數據安全風險管理進行初次審核,經過評定,確認是否批準認證;通過認證之后,在認證證書的有效期內對獲證客戶進行監督,確認是否持續滿足認證要求。
3 認證過程流程圖
4 認證申請
4.1認證申請的基本條件
a) 認證客戶具有明確的法律地位,客戶具有企業營業執照、事業單位法人證書、社會團體登記證書、非企業法人登記證書等,可獨立申請認證。其他類型的客戶,應由具備資格的單位代為申請;
b) 國家、地方或行業有要求時,認證客戶具有規定的行政許可文件,其申請認證范圍應在法律地位文件和行政許可文件核準的范圍內;
c) 認證客戶承諾遵守國家的法律、法規及其他要求,承諾始終遵守認證的有關規定,承擔與認證有關的法律責任,并有義務協助認證監管部門的監督檢查,對有關事項的詢問和調查如實提供相關材料和信息;
d) 認證客戶在全國企業信用信息公示系統中未被列入“嚴重違法企業名單”;
e) 近一年內通過數據安全風險評估檢測并提供檢測報告;
f) 認證客戶承諾獲得CQM認證后,按規定使用認證證書和認證標志和有關信息,不得擅自利用數據安全風險管理認證證書的文字、符號誤導公眾認為其產品或服務通過認證按合同支付認證費用,并按規定接受監督;
g) 認證客戶承諾獲得CQM認證后,按照CQM要求向CQM通報數據安全風險管理變更的信息和其他可能影響數據安全風險管理持續滿足認證標準要求的能力的事宜的信息,一般包括:客戶及相關方有重大投訴;發生重大事故;相關情況發生變更(包括:法律地位、生產經營狀況、組織狀態或所有權變更、強制性認證或其他資質證書變更;法定代表人、最高管理者、管理者代表發生變更;生產經營或服務的工作場所變更;數據安全風險管理覆蓋的活動范圍變更;數據安全風險管理和重要過程的重大變更等);出現影響數據安全風險管理運行的其他重要情況;
h) 認證審核期間,認證客戶能夠提供與擬認證范圍相關的活動或過程。
4.2不予受理認證申請的情形
a) 認證客戶申請的認證范圍超出法律地位文件和行政認可文件核準的范圍內的;
b) 認證客戶不滿足4.1中其他相關要求或近一年內發生其他違反國家法律法規、行業規定的情形。
5 審核實施
5.1 審核準則
認證雙方確認的審核依據標準如下:
CQM/S-RZ-ZY-21-001《數據安全風險管理 要求》
審核準則還包括受審核方所適用的方針、程序、標準、法律法規、數據安全風險管理相關要求、合同要求或行業規范。
上述標準更新時,使用更新版本。
5.2 審核過程
5.2.1 初次認證審核
初次認證審核目的是評價認證組織的數據安全風險管理實施情況,審核組通過收集客觀證據,綜合評價認證組織是否符合標準要求及相關要求,運行是否有效。
初次認證審核具體關注:
a) 受審核方規定的數據安全風險管理過程的有效性和控制方法;
b) 自我評估和自我改進實施情況等。
5.2.2 監督活動
5.2.2.1 監督活動的方式
監督活動包括監督審核與日常監控。監督審核的主要內容:
a) 自上次審核以來與組織數據安全風險管理有關的重要變更(如資源、過程、組織結構、已識別的關鍵控制點等);
b) 持續的運作控制數據安全管理目標的實現情況;
c) 對上次審核中提出問題的改進情況的驗證;
d) 自我評估和自我改進實施情況等。
5.2.2.3 監督審核的頻次
在證書有效期內,獲證客戶須接受監督審核,監督審核應至少每個日歷年(應進行再認證的年份除外)進行一次。初審/再認證后的第一次監督審核應在認證決定日期起12個月內進行;此后,監督審核應至少每個日歷年(應進行再認證的年份除外)進行一次,且兩次監督審核的時間間隔不得超過15個月。
獲證客戶因未在規定的時間內實施監督審核而暫停認證證書的,監督審核恢復后,下次審核時間應按原計劃時間計算。
5.2.3 再認證
再認證審核的主要內容:
a) 上一認證周期組織數據安全風險管理的持續有效性;
b) 數據安全風險管理有關的重要變更對數據安全風險管理的影響;
c) 數據安全風險管理目標的實現情況;
d) 對上次審核中提出問題的改進情況的驗證;
自我評估和自我改進實施情況等。
5.3 現場審核活動實施
審核組在現場審核前與受審核方溝通,確認審核安排,說明首末次會議議程。
審核組按照審核計劃中日程安排實施審核,通過查閱受審核方的文件和記錄、與過程和活動的崗位人員面談、座談、觀察產品、服務形成過程和活動等適當方法,抽樣收集并驗證有關的信息,形成審核發現,確認不符合情況。
在審核過程中,審核組及時與受審核方溝通,通報審核進程,確認審核證據,解決分歧。當審核發現表明不能達到審核目的時,應說明理由,商定后續措施。如果需要改變審核目的和范圍或終止審核時,應經審核派出機構評審和批準后實施。
審核組長在現場審核結束前,與受審核方溝通現場審核的信息,審核組編制審核報告并提交受審核方。
審核報告屬CQM所有,如果在審核后續活動中(含CQM進行認證決定期間)有所更改,CQM將重新向受審核方提供審核報告。請受審核方妥善保管審核報告等相應材料。
6 認證的批準、拒絕、保持、擴大、縮小、暫停、恢復和撤銷的條件和程序
6.1批準認證范圍的條件和程序
6.1.1 批準認證注冊的條件
a) 認證客戶的申請材料真實、準確、有效;
b) 認證客戶申請認證范圍在法律地位文件和資質規定的范圍內;認證客戶在認證申請范圍覆蓋的經營活動不存在重大風險;
c) 國家或地方或行業有要求時,認證客戶申請認證范圍內的組織單元、產品、服務及其過程和活動已滿足適用的法律法規的要求;
d) 審核中發現的不合格在規定期限內已經采取糾正/糾正措施,經CQM驗證有效。
e) 至少近一年來,認證客戶申請認證范圍內未發生失信行為或國家檢查不合格;
f) 認證客戶已與方圓簽署認證合同,承諾始終遵守認證的有關規定,并按照認證合同規定繳納認證費用。
6.1.2 批準認證資格的程序
a) CQM向認證客戶提供認證有關信息的公開文件,使其知悉并理解;
b) 認證客戶向CQM正式提交認證申請書和相關附件;
c) CQM根據客戶申請信息進行申請評審,并已確認受理認證申請;
d) 滿足6.1.1批準認證資格的條件,經CQM審定,認為認證客戶在認證范圍內已滿足批準認證資格的條件,同意批準認證;
e) CQM向認證客戶頒發認證證書,要求獲證方按規定使用認證標志。
6.2拒絕認證注冊的條件和程序
6.2.1 拒絕認證資格的條件
a) 認證客戶信息未通過CQM的申請評審,評審為不予受理認證申請;
b) 認證客戶的數據安全風險管理有重大缺陷,不符合認證標準的要求,CQM審核組現場審核結論為“不推薦認證注冊”;
c) 認證客戶的數據安全風險管理有重大缺陷,不符合認證標準的要求,CQM的審定結論為不予認證注冊。
6.2.2 拒絕認證注冊的程序
a) 符合6.2.1條件之一,經CQM評審為不予受理認證或認證客戶的數據安全風險管理不滿足批準認證資格條件;
b) CQM向認證客戶發出《不予認證注冊通知》。
6.3保持認證資格的條件和程序
6.3.1 保持認證資格的條件
a) 獲證客戶的法律地位、行政許可文件持續符合國家的最新要求,并且認證范圍在法律地位文件和行政許可文件規定的范圍內;
b) 獲證客戶持續遵守認證有關的規定,包括變更的規定;
c) 獲證客戶在認證范圍內的組織過程和活動持續滿足適用的最新法律法規的要求,如發生不滿足時及時采取有效的措施;
d) 獲證客戶于獲證期內,認證范圍內涉及的過程或活動未發生重大事故和國家檢查不合格;
e) 獲證客戶在獲證期間未發生誤用認證證書和認證標志,如有發生能及時有效地采取糾正和糾正措施,并將誤用產生的影響降至最小程度;
f) 獲證客戶對顧客或相關方的重大投訴和關切能及時有效地處理;
g) 獲證客戶能按照CQM要求及時通報重要過程變更等信息;
h) 按時接受監督審核,經現場審核獲證客戶的數據安全風險管理持續符合認證標準/規范性文件要求,審核組結論為“保持認證”;
i) 獲證客戶履行與CQM簽署認證合同中規定的責任和義務,并按照認證合同規定繳納認證費用。
6.3.2 保持認證資格的程序
a) 滿足6.3.1保持認證資格的條件,監督審核后,經CQM派出的審核組長確認和CQM審查后認為獲證客戶在認證范圍內能持續滿足保持認證資格的條件,同意保持認證資格,由CQM簽發確認證書并向獲證客戶發放;
b) 在認證證書有效期內如有認證要求變更,獲證客戶接受變更的認證要求,并經CQM驗證在認證范圍內數據安全風險管理滿足變更的要求,可保持認證資格。
6.6變更認證信息的條件和程序
6.6.1變更認證信息的條件和分類
6.6.1.1變更認證信息的條件
在認證證書有效期內,獲證客戶因信息發生變更,導致與認證證書信息不一致時,應予以更新。
6.6.1.2變更認證信息的分類
a) 獲證客戶名稱、住所變更;
b) 認證地址變更;
c) 地名變更;
d) 證書范圍中的過程或活動的變更。
6.6.2變更認證信息的程序
6.6.2.1認證信息的變更需提交的資料
6.6.2.1.1獲證客戶名稱、住所變更應提交的資料
a) 獲證客戶的書面變更申請;
b) 獲證客戶是企業的,提供工商行政主管部門的變更核準證明及新營業執照復印件;其他性質的獲證客戶提供允許其設立的政府行政主管部門的相關文件;
c) 對于因改制、企業重組引起的名稱變更,獲證客戶不能獲得名稱變更核準證明時,應提交組織以原名稱和現名稱名義的更名申請、政府有關部門的批文和原名稱注銷證明;并需因數據安全風險管理發生重大變更接受CQM的一次監督審核和審定;
d) 有行政許可、資質等要求的獲證客戶,還應提供按新名稱變更后的有關文件。
6.6.2.1.2認證地址變更需要提交的資料
a) 獲證客戶的書面變更申請;
b) 有行政許可、資質等要求的獲證客戶,還應提供按新地址變更后的法規要求的有關文件。
6.6.2.1.3 地名變更需要提交的資料
a) 獲證客戶的書面變更申請;
b) 當地政府的相關證明;
c) 對有行政許可、資質等要求的獲證客戶,還應提供按新地址變更后的有關文件。
6.6.2.1.4 證書范圍中的過程或活動的變更需要提交的資料
a) 獲證客戶的書面變更申請;
b) 對有行政許可、資質等要求的認證范圍,還應提供相應文件復印件。
6.6.2.2 認證信息變更的辦理流程
a) 獲證客戶根據6.6.1要求向CQM正式提交滿足6.6.2.1要求的申請和相關文件資料;
b) 需要時,獲證客戶應接受CQM的審核;
c) 經CQM審定,認為獲證客戶滿足認證信息變更的條件,同意批準認證信息變更;
d) CQM收回原認證證書,換發認證證書或附件,認證證書的有效期保持不變。
6.7暫停認證資格的條件和程序
6.7.1 暫停認證資格的條件
符合下列條件之一的獲證客戶,CQM將暫停其認證證書:
——獲證客戶數據安全風險管理持續或嚴重不滿足認證要求。
a) 獲證客戶的數據安全風險管理生重大變更,不能持續符合認證標準/規范性文件要求;
b) 獲證客戶監督審核期間發生嚴重影響體系運行的情況;
c) 獲證客戶在認證范圍內的過程和活動不能滿足適用的最新法律法規和標準的要求,并未采取措施或措施無效;
d) 獲證客戶未按照認證要求的變更做出相應調整,或調整不滿足變更要求;——獲證客戶不承擔、履行認證合同約定的責任和義務。
a) 獲證客戶未能在規定的期限內接受監督或再認證審核;
b) 獲證客戶未履行與CQM簽署認證合同中規定的責任和義務,并對保持認證資格產生重大影響;
c) 獲證客戶未按照認證合同規定繳納認證費用;
d) 獲證客戶在獲證期間發生誤用認證證書和認證標志,并未能及時有效地采取糾正和糾正措施,以將產生的影響降至最少程度。
——獲證客戶在證書有效期間受到相關執法監管部門處罰。
a) 獲證客戶未按要求對信息進行通報。
——獲證客戶被地方認證監管部門發現體系運行存在問題。
a) 獲證客戶于獲證期間在認證范圍內發生國家抽檢不合格,并未查明原因和采取補救措施。
——獲證客戶持有的行政許可證明、資質證書、強制性認證證書等過期失效,重新提交的申請已被受理但尚未換證。
a) 獲證客戶的法律地位、資質不再符合國家的最新要求;
b) 獲證客戶的認證范圍已不在現行有效的法律地位文件和資質規定的范圍內,但仍有可能在短期內符合規定要求。
——獲證客戶主動請求暫停。
——獲證客戶發生了與違反國家法律法規的重大事故,反映出獲證客戶的體系建立及運行存在重大缺陷。
a) 獲證客戶于獲證期間在認證范圍內發生重大事故被媒體曝光、或未查明原因和采取補救措施;
——其他原因需要暫停證書。
6.7.2 暫停認證資格的程序
a) CQM提出對獲證客戶暫停全部或部分認證范圍內認證資格的建議,并提供理由和證據,或由獲證客戶向CQM提出暫停認證資格的申請;
b) 必要時,CQM與獲證客戶溝通,核實證據;
c) 經CQM審定,認為獲證客戶在認證范圍內全部或部分不再持續滿足認證要求,但仍然有可能在短期內采取糾正措施的,同意批準暫停全部或部分認證范圍的認證資格,并確定暫停期限,向獲證客戶頒發《認證處置決定通知書》并公告;
d) 獲證客戶按照《管理體系認證證書和認證標志、認可標識使用規則》停止使用認證證書和認證標志, 在暫停期間,客戶的數據安全風險管理認證暫時無效。
6.8恢復認證資格的條件和程序
6.8.1 恢復認證資格的條件
獲證客戶已針對暫停認證資格的原因采取了有效的糾正措施,產生原因已經消除,認證資格的恢復符合相關的認證要求,同時已證實在暫停期內沒有使用、引用認證資格(如廣告宣傳)和使用認證標志。
6.8.2 恢復認證資格的程序
a) 在確定的認證資格暫停限期結束前,根據暫停原因,獲證客戶在規定期限內向CQM提出恢復認證資格的《恢復使用認證證書和認證標志的申請書》;
b) 需要時,獲證客戶應提交相關糾正措施和有效性驗證材料;
c) 經CQM審定,確認獲證客戶在暫停認證資格的認證范圍內已恢復符合相關的認證要求,作出同意恢復認證資格的結論,頒發《恢復使用認證證書和標志的通知》并公告。
6.9撤銷認證資格的條件和程序
6.9.1 撤銷認證資格的條件
符合下列條件之一的獲證客戶,CQM將撤銷其認證證書:
——獲證客戶審核未通過。
——獲證客戶被注銷或撤銷法律地位證明文件。
——獲證客戶拒絕配合認證監管部門實施的監督檢查,或者對有關事項的詢問和調查提供了虛假材料或信息。
a) 被國家行政主管部門列入信用嚴重失信企業名單。
——被相關政府主管部門認定存在嚴重違法失信行為的。
——獲證客戶出現重大事故,經執法監管部門確認是獲證客戶違規造成。
a) 獲證客戶于獲證期間在認證范圍內發生國家抽檢不合格,并造成嚴重影響。
b) 拒絕接受國家行政主管部門監督抽查的。
——獲證客戶在證書有效期間有其他嚴重違反法律法規行為,受到相關執法監管部門處罰。
——獲證客戶暫停認證證書的期限已滿但導致暫停的問題未得到解決或糾正(包括持有的行政許可證明、資質證書、強制性認證證書等已經過期失效但申請未獲批準)。
——獲證客戶沒有運行數據安全風險管理要求或者已不具備運行條件。
——獲證客戶不按相關規定正確引用和宣傳獲得的認證信息,造成嚴重影響或后果,或者認證機構已要求其糾正但超過2個月仍未糾正。
——獲證客戶因換發新證而撤銷舊證書。
——獲證客戶不承擔、履行認證合同約定的責任和義務。
——獲證客戶主動放棄認證。
——其他原因需要撤銷證書。
6.9.2 撤銷認證資格的程序
經CQM核實與審定,確認獲證客戶在認證范圍內的管理體系不再滿足認證要求,作出撤銷認證資格的結論,發放《認證處置決定通知書》并公告,收回認證證書,認證客戶不得再使用認證證書和認證標志。
7 認證證書
7.1認證證書
數據安全風險管理認證證書有效期為3年;通常情況下,獲證客戶應在當前認證證書截止期前至少3個月接受再認證審核或已做好接受再認證審核的準備。否則,因獲證客戶接受再認證審核時間過晚或因不符合的關閉導致CQM的認證決定無法在原認證證書到期前作出時,再認證證書有效期將不足3年。
7.2認證證書的使用
獲證客戶應建立認證證書的使用方案,獲證后按照《管理體系認證證書、標志標識使用規則》正確使用認證證書。
7.3認證證書的誤用
獲證客戶誤用認證證書,可能導致認證資格的暫停或撤銷,具體見《管理體系認證證書、標志標識使用規則》中規定。
獲證客戶一旦發現誤用認證證書或認證標志,應立即采取糾正措施,并報告方圓審核管理部門。
8 獲證客戶的信息通報
獲證客戶應建立向方圓通報最新信息的程序,并及時通報其重大投訴、國家監督檢查結果、重大事故及獲證客戶變更的各種信息等。變更信息包括(但不限于)以下:
a) 組織名稱,組織法人,隸屬關系;
b) 聯系人,聯系方式(包括:電話、傳真、手機);
c) 組織地址(包括:注冊地址、認證地址);
d) 體系覆蓋人數;
e) 認證范圍變化;
f) 組織機構和職能分配;
g) 證書表述的組織認證場所。
當上述信息發生變更時,獲證客戶應填寫《獲證組織認證信息變更溝通單》,并及時反饋給CQM。變更信息反饋渠道及聯系信息詳見《獲證組織認證信息變更溝通單》中的聯系。
9 認證要求變更的條件和程序
9.1認證要求變更的條件
a) 獲證客戶保持認證資格有效;
b) 認證要求變更應在規定的時間前完成;
c) 申請認證要求變更的獲證客戶應提交認證要求變更需求申請,并提交按新的認證要求進行體系調整的證據;
d) 獲證客戶的體系已滿足新的認證要求,且已正常運行。
9.2認證要求變更的程序
a) 在認證要求變更轉換期結束前,獲證客戶向CQM提出認證要求變更申請;提出申請日期宜在轉換期截止前至少90天;
b) CQM通過對獲證客戶實施年度監督審核或再認證審核,或應獲證客戶要求安排的認證要求變更的專項審核,評審調整后的數據安全風險管理對認證要求的符合性、適宜性和有效性;
c) 經CQM審定,認為獲證客戶已滿足批準認證資格的條件,同意批準認證范圍,換發認證證書或附件,收回原證書,認證證書的注冊號和有效期保持不變。
10 保密
CQM承諾為認證客戶保密(提前告知認證客戶的需公開信息除外)。對認證客戶的保密信息如需公開或向第三方提供時,將擬提供的信息提前通知認證客戶(法律限制除外)。
如有證據表明,CQM因認證接觸受審核方的商業、技術秘密,而泄露給第三者(法律規定除外),承擔相應法律責任。
11 申訴/投訴、爭議及處理
對CQM或審核人員違反國家認證法律、法規、認可機構有關規定、缺乏公正性及對認證的評價結果等有異議時,可以向CQM提出申訴、投訴。
CQM將在30日內答復處理情況。
對CQM申訴/投訴和爭議的處理有異議時可向中國合格評定國家認可委員會、中國國家認證認可監督管理委員會等有關部門進一步申訴/投訴。
12 費用
實施本方案的費用,按《數據安全風險管理認證收費管理規則》執行。
13 公告
對獲得認證、暫停、恢復或撤銷的認證客戶,在CQM網站上公布。
14 附則
本方案由方圓標志認證集團有限公司負責解釋。