资质服务

CONSULTING

工业控制安全服务资质

一、 通用评价要求

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价,均分为三个级别, 其中一级最高。

1. 三级评价要求

1.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。

1.2. 财务资信要求

组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。

1.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

1.4. 人员能力要求

a) 组织负责人拥有2年以上信息技术领域管理经历。

b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格, 评价要求见附录I。

1.5. 业绩要求

a) 从事信息安全服务(与申报类别一致)4个月以上。

b)(监督审核时)近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。

1.6. 服务管理要求

a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。

b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容, 并执行计划,确保服务人员持续胜任其承担的职责。

c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。

d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。

e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f) 建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。

g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

1.7. 服务技术要求

a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。

2. 二级评价要求

申请方可根据条件直接申请,或获得三级资质一年以上可提出二级申请,服务管理程序文件需建立、发布并运行半年以上。

2.1 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。

2.2 财务资信要求

组织经营状况正常,制定并执行财务管理制度,可为服务提供必要的财务支持。

2.3 办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

2.4 人员能力要求

a) 组织负责人拥有3年以上信息技术领域管理经历。

b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致),评价要求见附录I。

2.5 业绩要求

a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致) 三级资质1年以上。

b) 近三年内签订并完成至少6个信息安全服务(与申报类别一致)项目。

2.6 服务管理要求

a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。

b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。配备档案室及高安全性的文件服务器。

d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。

e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f) 建立与运行供应商管理程序,明确供应和(或)外包过程中的风险,对供应商和(或)承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全方向)。

g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

h) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系,并有效运行半年以上。

i) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行半年以上。

2.7 技术工具要求

d) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

e) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。

2.8 服务技术要求

f) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

g) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。

3. 一级评价要求

申请方须获得二级资质一年以上可提出相同类别的一级申请,且服务管理程序文件需建立、发布并运行一年以上。

3.1 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。

3.2 财务资信要求

组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。

3.3 办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

3.4 人员素质与资质要求

a) 组织负责人拥有4年以上信息技术领域管理经历。

b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致),评价要求见附录I。

3.5 业绩要求

a) 从事信息安全服务(与申报类别一致)5年以上。

b) 近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。

3.6 服务管理要求

a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。

b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。

d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。

e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f) 建立与运行供应商管理程序,明确供应商和(或)外包过程中的风险,对供应商和(或) 承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、工业控制系统安全方向)。

g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

h) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系,并有效运行一年以上。

i) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行一年以上。

j) 建立信息安全服务目录,签订服务级别协议。

3.7 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。

3.8 服务技术要求

a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。

二、专业评价要求


工业控制系统安全服务资质专业评价要求针对安全服务规划、服务实施、服务总结三个过程进行,项目实施过程应形成文件,具体分级要求如下:

1 三级要求

申请三级资质认证的单位,至少有1个针对工业生产行业领域的系统集成和系统运维的服务项目; 在技术和管理方面具备安全服务的过程管理、风险管理,以及识别跟踪信息安全漏洞的能力;具备 安全问题解决的验证和证据分析、安全服务不断提升改进的能力。

1.1 服务规划阶段

1.1.1 调研客户需求

a) 编制业务情况和工业控制系统调研表,并按照调研表收集有效信息。

b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。

c) 采集客户对工业控制系统安全管理和技术服务的目标和需求。

1.1.2 分析服务业务

a) 识别工业控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险;

b) 识别影响工业控制系统安全服务的法律、政策、标准、外部影响和约束条件;

c) 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。

1.1.3 编制服务方案

a) 结合调研的安全需求,与客户、工业控制系统开发单位及其他相关人员充分沟通,编制安全服务技术方案和服务预算。

b) 与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质量、沟通和风险等方面的要求。

1.1.4 组建服务团队

a) 应考虑服务项目的目标、内容、范围等组建团队。

b) 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控制系统业务流程,能与工业控制系统运行人员进行有效沟通。

1.1.5 实施准备

a) 应根据服务内容准备必要的工具。

b) 对服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。

c) 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。1.2 服务实施阶段

1.2.1 项目实施

a) 实施初始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障及安全事件。

b) 依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务安全运维和风险评估服务。

c) 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证, 在不影响系统可用性、实时性和稳定性的前提下实施更新。

d) 在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。

e) 对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时期和业务高峰期。

f) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。

g) 项目实施人员按时提交服务记录,及时向项目经理汇报项目进度。

h) 建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。

1.2.2 系统运行测试

a) 实施结束后,对工业控制系统进行功能和性能检测,保障系统运行的可靠性和稳定性,并记录系统运行状况。

b) 必要时,制定系统安全性测试方案,对于系统改造或升级项目,还需进行兼容性测试,完整记录测试过程相关信息。

c) 建立系统维保服务流程,制定维保方案并形成维保记录。1.3 服务总结阶段

1.3.1 服务验收

a) 根据合同约定,向客户提交完整的项目交付物,并提出终验申请。

b) 根据合同约定,配合组织项目验收,出具项目验收报告。

c) 验收报告中应描述工业控制系统在验收时的运行状况,以及客户单位的反馈意见。

1.3.2 服务交接

a) 告知客户工业控制系统网络安全现状和可能存在的安全风险。

b) 提供针对安全风险的应对建议,必要时指导和协助客户实施。

c) 应建立报告的批准和交付程序,保留交付记录。1.3.3 服务总结

a) 应保存完整的安全服务工作记录,并对安全服务过程进行总结和分析,提交工业控制系统网络安全服务的工作报告,内容应包括项目概况、依据、服务过程、结论、进一步工作建议,以及工业控制系统安全服务过程中发现问题等。

b) 应形成和保存工业控制系统的状态和防护情况的记录,包括工业控制系统的业务流程、系统组成、设备配置、存在漏洞,以及采取的安全措施。

c) 应指派至少一人复核与评价相关的所有信息和结果,复核应由未参与评价过程且熟悉相应生产行业业务领域的人员进行。

2 二级要求

组织申报二级资质,除满足三级能力要求外,还应满足以下要求:

申请二级资质认证的单位,至少完成6个与申请工业控制领域一致的完整的安全集成和安全运维服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统开展风险评估服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。

2.1 服务规划阶段

2.1.1 调研客户需求

a) 调研客户工业控制系统的业务逻辑、工作流程,工业控制系统的设备组成、网络架构等。

b) 编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系统资产信息、工业控制系统相关的管理人员信息等。

2.1.2 分析服务业务

a) 了解所属行业主管部门对工业控制系统安全要求。

2.1.3 编制服务方案

a) 制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。

b) 对于在运工业控制系统,应搭建控制系统的模拟环境,模拟真实系统的运行情况、配置、数据、业务流程,验证方案的有效性。

c) 安全服务技术方案和实施方案应经过评审,并与客户达成一致。

2.1.4 组建服务团队

a) 团队成员必须包括所服务业务领域的工业控制系统专业人员,熟悉工业控制系统工作原理、业务流程和操作规程。

2.1.5 实施准备

a) 应根据服务的需求准备必要的工具,具有工具定制研发的能力。

b) 结合项目需要,编制安全服务项目施工手册和作业指导书。

c) 对团队成员进行安全服务技能培训和工业控制系统原理、组成和操作的培训。2.2 服务实施阶段

2.2.1 项目实施

a) 建立服务过程质量监控机制, 监督工业控制系统安全服务实施的过程,定期开展工业控制系统安全服务质量检查。

b) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业控制系统的漏洞,在服务过程中采取有效措施避免安全风险。

c) 如有远程服务的需求,应建立远程访问审批流程,经批准后方能实施,实施过程应采取必要的访问控制策略并对操作过程进行安全审计。

d) 应编制服务过程中发现的工业控制系统安全风险的风险列表。

2.2.2 风险评估

a) 识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析模型进行风险计算和评价,给出风险评估报告;

b) 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。

c) 对客户提出完整的风险处置方案,协助客户进行风险处置,必要时,对残余风险进行再评估。

2.2.3 系统运行测试

a) 制定系统安全性测试方案,在运行系统中或模拟环境中进行测试,完整记录测试过程相关信息,形成系统测试报告。

2.3 服务总结阶段

2.3.1 服务验收

a) 应建立程序,对服务验收中可能存在的重要分歧或者遗漏及时更正,并将更正后的验收报告提交给用户方。

2.3.2 服务交接

a) 建立客户满意度调查机制。

2.3.3 服务总结

a) 验证在服务过程中发现的工业控制系统的漏洞,建立管理机制跟踪漏洞的消缺情况。

3 一级要求

组织申报一级资质,除满足二级能力要求外,还应满足以下要求:

申请一级资质认证的单位,至少完成10个与申请工业控制领域一致的完整的安全集成和安全运维服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统开展风险评估服务、应急处理服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。

3.1 服务规划阶段

3.1.1 调研客户需求

a) 调研客户企业愿景,对工业控制系统安全业务的发展规划和未来几年业务发展目标。

3.1.2 分析服务业务

a) 对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。3.1.3 编制服务方案

a) 确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造

成的影响。

3.1.4 组建服务团队

a) 团队成员必须配备能够对工业控制系统进行应急处理的服务人员。

3.1.5 实施准备

a) 具有根据工业控制系统特点,自主开发专业检测工具的能力。

b) 配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。

c) 应根据服务的需求配备必要的服务质量监测手段,具备对服务行为进行审计的能力。

3.2 服务实施阶段

3.2.1 项目实施

a) 有能力利用客户的备用设备或仿真环境搭建控制系统的模拟环境,模拟真实系统的结果、配置、数据、业务流程,在仿真系统中验证服务内容和测试,以保障在运系统的安全、稳定运行。

b) 建立服务过程质量监控机制,定期开展服务质量评价工作,能够对多个团队的服务质量的一致性进行把控。

3.2.2 风险评估及应急处置

a) 能够对工业控制系统发生的网络安全事件进行原因分析,采取措施抑制或根除潜在的安全风险,提交应急处置方案。

b) 网络与信息安全事件处理记录应具备可追溯性。

3.2.3 系统运行测试

a) 制定系统安全性测试方案,模拟攻击场景,在模拟环境中进行安全性测试,形成测试报告。

b) 综合分析控制系统运行状况,制定安全运维、应急响应方案。

3.3 服务总结阶段

3.3.1 服务验收

3.3.2 服务交接

a) 建立应急保障团队,及时响应客户需求。

3.3.3 服务总结

a) 建立服务项目知识库,积累和汇总不同行业的业务知识和系统特点。

b) 提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。

三、申请流程:

一、认证程序

1. 认证申请

1)认证申请书,包括但不限于以下内容:

a. 申请方基本信息,包括业务活动、组织架构、联系人信息、物理位置、服务和申请级别等基本内容;

b. 法律地信资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如有));

c. 业务运行的时间;

d. 取得相关法规规定的行政许可文件(适用时)。

2)自评价表,包括但不限于:

a. 组织根据证证依据所进行的符合性评价;

b. 评价结论所需要的证据材料。

2. 申请评审

中心应根据认证依据、程序等要求,对申请方提交的认证申请书、自评价信息及其相关资料进行评审并保存评审记录,做出评审结论,以确定:

1)所需要的基本信息都得到提供(自评估信息的完整性);

2)申请方的行业类别和与之相对应服务的过程特性和管理要求;

3)对应行业的管理要求;

4)中心与申请方之间任何已知的理解差异得到消除;

5)中心有能力并能够实施所申请的认证活动;

6)申请的认证范围、申请方的运作场所、完成审核需要的时间和任何其它影响认证活动的因素;核算并确定审核人日。

3. 建立审核方案

在申请评审后,中心应针对申请方建立审核方案(申请方变更为受审核方),并由专职人员负责管理审核方案。审核方案范围与程度的确定应基于受审核的规模和性质,以及受审核服务和服务管理的性质、功能、复杂程度以及成熟度。

中心应建立审核人日确定准则,根据申请方的规模、特性、业务复杂程度、服务管理体系涵盖的范围、认证要求和其承担的风险因素核算并确定审核人日,以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:

1)审核的范围与程度、数量、类型、持续时间、地点、日程安排;

2)审核准则;

3)审核方式;

依据企业提供的信息和认证资信,由项目管理人员决定采取具体的审核方式实施审核,目前可选择方式如下:

审核方式 一级 二级 三级 备注

非现场审核 √ √ √

现场审核 √ √ √

现场见证 √ √ √ 仅适用于安全运维

注:

① 三级初次认证宜采取自我声明+非现场审核;

② 一、二级初次认证宜采取非现场审核与现场审核相结合;必要时,实施现场见证;

③ 监督审核依据获证方的自评估,先实施非现场审核,必要时实施现场审核和(或)现场见证。

4)审核组的选择(审核组成员应具有相应的服务审核方向);

5)所需的资源,包括交通和食宿;

6)处理保密性、信息安全、健康和安全,以及其它类似事宜。

4. 确定审核组

中心应根据受审核方的行业、规模和业务复杂程度和审核方案组建审核组,指派审核组长。

5. 非现场审核

依据项目管理人员的安排,审核组对申请方实施非现场审核。非现场审核时,审核组通过对审核方提交的自评价信息进行评审,获取需要的信息,对于无法从自评价信息中获取的信息,审核组通过远程审核工具进行信息获取,以确保完成非现场审核。

1)非现场审核计划

审核组长应结合受审核方的申请书/自评价信息、审核方案对非现场审核的策划做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式的安排。审核组长应至少在实施审核前与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。

2)实施非现场审核

审核组长依据认证依据和审核要求,对申请方递交的资料进行审核,必要时辅以电话、视频、邮件等远程审核,并出具非现场审核报告。

非现场审核应对以下几个方面进行关注:

① 受审核方的人员管理情况;

② 受审核方的工具管理情况;

③ 受审核方的保密管理情况;

④ 受审核方的组织管理情况;

⑤ 受审核方的服务项目管理情况;

⑥ 受审核方对服务过程中资源的管理情况;

⑦ 受审核方对服务过程中风险(包括安全风险)的管理情况;

⑧ 受审核方已完成的项目及验收的结果;

⑨ 是否进行现场审核;

⑩ 现场审核时是否进行现场见证;

11 其他审核组员认为需要关注的方面等。

3)非现场审核结论

审核组应该对非现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。

如非现场审核发现不符合项和观察项应开具不符合项报告和观察项,且获得受审核方认同。

非现场审核结束,审核组可以根据非现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价,并判断是否需要:

① 进行现场审核;

② 服务项目现场见证;

③ 推荐认证注册等。

非现场审核结束后,审核组长完成审核报告。如果非现场审核结束后,审核组认为有必要进行现场审核,需在审核报告中进行说明,并向项目管理人员提出申请,由项目管理人员进行分析后确定。

6. 现场审核

依据项目管理的安排,审核组对申请方实施现场审核。

1)现场审核计划

审核组应结合受审核方的申请书/自评价信息、非现场审核发现、审核方案对现场审核的策划对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式进行证据收集、人员沟通和会议安排。审核组长应至少在实施现场审核5个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。

必要时,在制定现场审核计划时考虑对受审核方执行服务项目的现场见证。

2)现场审核实施

审核组长依据认证依据和审核要求,到受审核方现场进行审核,并出具现场审核报告。

现场审核应对以下几个方面进行关注:

① 受审核方的现场环境、实验环境;

② 受审核方的资源管理情况;

③ 受审核方的文档管理情况;

④ 受审核方的服务管理情况;

⑤ 受审核方的服务项目管理过程;

⑥ 受审核方的已完成的项目及验收证明;

⑦ 审核组认为非现场审核发现需要关注的方面;

审核组通过现场审核,应实现以下目的:

① 确定受审核方有能力策划并实施合同约定的服务项目;

② 确定受审核方有能力确保所有的服务项目都按照既定的要求执行;

③ 确定受审核方的项目管理和执行过程满足认证依据的通用评价要求和专业评价要求。

3)现场审核结论

审核组应该对非现场审核和现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。

如现场审核发现不符合符应开具不符合项报告和观察项,且获得受审核方的认同。

现场审核结束,审核组可以根据非现场审核结果和现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价,并判断是否需要增加非现场审核、是否推荐认证注册。

现场审核结束后,3个工作日内,审核组长完成审核报告。

7. 现场见证(必要时)

依据项目管理的安排,审核组对受审核方实施现场见证。

1)现场见证计划

审核组应结合受审核方的申请书/自评价信息、审核方案对现场见证做出具体安排,包括但不限于具体的时间安排、审核组成员、具体的见证客户及见证内容。审核组长在制定见证计划前,与受审核方就时间安排进行充分沟通,确保双方达成一致。

同时,尽量与现场审核的时间安排保持一致。

2)现场见证实施

必要时,对申请认证的组织,审核组长/或组员依据认证依据和审核要求,对受审核方正在实施的服务项目现场进行见证,并出具现场见证报告。

现场见证应对以下几个方面进行关洋:

① 受审核方服务现场的安全管理情况;

② 受审核方的现场服务过程的规范性;

③ 服务人员的技术能力;

④ 服务人员对工具的规范操作能力;

⑤ 受审核方服务技术要求的满足程度。

8. 认证决定

审核完成后,项目管理人员应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:

① 同意认证注册,颁发认证证书;或不同意认证注册。

② 并给出下次监督审核方式的建议。

注1:参加审核的人员不能作为认证决定人员实施认证决定。

注2:受审核方获得认证注册资格后变更为获证组织。

9. 证书颁发

对于符合认证要地的获证组织,颁发认证证书。


三、申请流程

一、认证程序

1. 认证申请

1)认证申请书,包括但不限于以下内容:

a. 申请方基本信息,包括业务活动、组织架构、联系人信息、物理位置、服务和申请级别等基本内容;

b. 法律地信资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如有));

c. 业务运行的时间;

d. 取得相关法规规定的行政许可文件(适用时)。

2)自评价表,包括但不限于:

a. 组织根据证证依据所进行的符合性评价;

b. 评价结论所需要的证据材料。

2. 申请评审

中心应根据认证依据、程序等要求,对申请方提交的认证申请书、自评价信息及其相关资料进行评审并保存评审记录,做出评审结论,以确定:

1)所需要的基本信息都得到提供(自评估信息的完整性);

2)申请方的行业类别和与之相对应服务的过程特性和管理要求;

3)对应行业的管理要求;

4)中心与申请方之间任何已知的理解差异得到消除;

5)中心有能力并能够实施所申请的认证活动;

6)申请的认证范围、申请方的运作场所、完成审核需要的时间和任何其它影响认证活动的因素;核算并确定审核人日。

3. 建立审核方案

在申请评审后,中心应针对申请方建立审核方案(申请方变更为受审核方),并由专职人员负责管理审核方案。审核方案范围与程度的确定应基于受审核的规模和性质,以及受审核服务和服务管理的性质、功能、复杂程度以及成熟度。

中心应建立审核人日确定准则,根据申请方的规模、特性、业务复杂程度、服务管理体系涵盖的范围、认证要求和其承担的风险因素核算并确定审核人日,以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:

1)审核的范围与程度、数量、类型、持续时间、地点、日程安排;

2)审核准则;

3)审核方式;

依据企业提供的信息和认证资信,由项目管理人员决定采取具体的审核方式实施审核,目前可选择方式如下:

审核方式 一级 二级 三级 备注

非现场审核 √ √ √

现场审核 √ √ √

现场见证 √ √ √ 仅适用于安全运维

注:

① 三级初次认证宜采取自我声明+非现场审核;

② 一、二级初次认证宜采取非现场审核与现场审核相结合;必要时,实施现场见证;

③ 监督审核依据获证方的自评估,先实施非现场审核,必要时实施现场审核和(或)现场见证。

④审核组的选择(审核组成员应具有相应的服务审核方向);

⑤所需的资源,包括交通和食宿;

⑥处理保密性、信息安全、健康和安全,以及其它类似事宜。

4. 确定审核组

中心应根据受审核方的行业、规模和业务复杂程度和审核方案组建审核组,指派审核组长。

5. 非现场审核

依据项目管理人员的安排,审核组对申请方实施非现场审核。非现场审核时,审核组通过对审核方提交的自评价信息进行评审,获取需要的信息,对于无法从自评价信息中获取的信息,审核组通过远程审核工具进行信息获取,以确保完成非现场审核。

1)非现场审核计划

审核组长应结合受审核方的申请书/自评价信息、审核方案对非现场审核的策划做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式的安排。审核组长应至少在实施审核前与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。

2)实施非现场审核

审核组长依据认证依据和审核要求,对申请方递交的资料进行审核,必要时辅以电话、视频、邮件等远程审核,并出具非现场审核报告。

非现场审核应对以下几个方面进行关注:

① 受审核方的人员管理情况;

② 受审核方的工具管理情况;

③ 受审核方的保密管理情况;

④ 受审核方的组织管理情况;

⑤ 受审核方的服务项目管理情况;

⑥ 受审核方对服务过程中资源的管理情况;

⑦ 受审核方对服务过程中风险(包括安全风险)的管理情况;

⑧ 受审核方已完成的项目及验收的结果;

⑨ 是否进行现场审核;

⑩ 现场审核时是否进行现场见证;

11 其他审核组员认为需要关注的方面等。

3)非现场审核结论

审核组应该对非现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。

如非现场审核发现不符合项和观察项应开具不符合项报告和观察项,且获得受审核方认同。

非现场审核结束,审核组可以根据非现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价,并判断是否需要:

① 进行现场审核;

② 服务项目现场见证;

③ 推荐认证注册等。

非现场审核结束后,审核组长完成审核报告。如果非现场审核结束后,审核组认为有必要进行现场审核,需在审核报告中进行说明,并向项目管理人员提出申请,由项目管理人员进行分析后确定。

6. 现场审核

依据项目管理的安排,审核组对申请方实施现场审核。

1)现场审核计划

审核组应结合受审核方的申请书/自评价信息、非现场审核发现、审核方案对现场审核的策划对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式进行证据收集、人员沟通和会议安排。审核组长应至少在实施现场审核5个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。

必要时,在制定现场审核计划时考虑对受审核方执行服务项目的现场见证。

2)现场审核实施

审核组长依据认证依据和审核要求,到受审核方现场进行审核,并出具现场审核报告。

现场审核应对以下几个方面进行关注:

① 受审核方的现场环境、实验环境;

② 受审核方的资源管理情况;

③ 受审核方的文档管理情况;

④ 受审核方的服务管理情况;

⑤ 受审核方的服务项目管理过程;

⑥ 受审核方的已完成的项目及验收证明;

⑦ 审核组认为非现场审核发现需要关注的方面;

审核组通过现场审核,应实现以下目的:

① 确定受审核方有能力策划并实施合同约定的服务项目;

② 确定受审核方有能力确保所有的服务项目都按照既定的要求执行;

③ 确定受审核方的项目管理和执行过程满足认证依据的通用评价要求和专业评价要求。

3)现场审核结论

审核组应该对非现场审核和现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。

如现场审核发现不符合符应开具不符合项报告和观察项,且获得受审核方的认同。

现场审核结束,审核组可以根据非现场审核结果和现场审核的结果对受审核方的服务是否满足所有适用的认证依据的要求进行评价,并判断是否需要增加非现场审核、是否推荐认证注册。

现场审核结束后,3个工作日内,审核组长完成审核报告。

7. 现场见证(必要时)

依据项目管理的安排,审核组对受审核方实施现场见证。

1)现场见证计划

审核组应结合受审核方的申请书/自评价信息、审核方案对现场见证做出具体安排,包括但不限于具体的时间安排、审核组成员、具体的见证客户及见证内容。审核组长在制定见证计划前,与受审核方就时间安排进行充分沟通,确保双方达成一致。

同时,尽量与现场审核的时间安排保持一致。

2)现场见证实施

必要时,对申请认证的组织,审核组长/或组员依据认证依据和审核要求,对受审核方正在实施的服务项目现场进行见证,并出具现场见证报告。

现场见证应对以下几个方面进行关洋:

① 受审核方服务现场的安全管理情况;

② 受审核方的现场服务过程的规范性;

③ 服务人员的技术能力;

④ 服务人员对工具的规范操作能力;

⑤ 受审核方服务技术要求的满足程度。

8. 认证决定

审核完成后,项目管理人员应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:

① 同意认证注册,颁发认证证书;或不同意认证注册。

② 并给出下次监督审核方式的建议。

注1:参加审核的人员不能作为认证决定人员实施认证决定。

注2:受审核方获得认证注册资格后变更为获证组织。

9. 证书颁发

对于符合认证要地的获证组织,颁发认证证书。

四、资质证书

CCRC资质证书