信息安全服务资质ISCCC年审、维护怎么办?
1、 首先,大家应该详细了解资质年审的频次和方式,对获证组织实施监督审核,每年度(不超过12个月)进行一次监督审核。对于三级获证组织,需要在半年内进行初次监督审核,第二次监督审核在获证后的第12个月进行。
对于信誉良好的获证组织,信任度级别高,可以根据实际情况延长监督的频次和灵活运用监督的方式。
当获证组织发生重大变更、事故、信任度级别低以下或客户投诉时,可增加现场监督评估的频次。
监督的方式包括非现场监督审核和现场监督审核两种方式。
2、 再次,企业需要年度监督审核的时候,需要在企业内部安排有专职负责人员,在进行监督审核之前,中心需要收集获证组织的安全服务管理与安全服务能力的相关信息,以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
1) 信息确认文件,包括但不限于:
a. 基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b. 组织信息:包括范围、组织架构、人员数量等信息的变化情况;
c. 服务管理体系相关信息,关键文件化信息的变化情况。
2) 自评价信息:包括但不限于:
a. 安全服务管理运行情况,包括运行说明和运行证据;
b. 安全服务管理监视、测量、分析和评价的结果和证据;
c. 安全服务管理运行的持续改进情况,包括改进说明和证据;
d. 满足法律法规的情况说明;
e. 对安全服务管理符合性的自我评价。
3、 最后,项目管理人员对收集的信息的完整性进行评审,必要时,对审核方案进行维护。
1、 首先,需要制定审核计划,审核组应结合获证组织的信息确认文件、自评价信息、审核方案对监督审核的策划和前一次审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排、现场见证和会议的安排。审核组长应至少在实施审核3个工作日之前,与获证组织就审核计划进行充分沟通,确保双方没有歧义。
监督审核并不覆盖认证依据所有条款,监督审核的抽样采取抽样的方式进行, 抽样准则为:
1) 两次监督审核必须覆盖标准所有条款和所有部门;
2) 标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3) 获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4) 审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括对以下方面:
1) 非现场审核;
2) 对上次审核中确定的不符合采取的措施;
3) 投诉的处理;
4) 安全服务管理与安全服务能力在实现获证客户目标的有效性;
5) 为持续改进而策划的活动的进展;
6) 持续的运作控制;
7) 任何变更;
8) 标志的使用和(或)任何其他对认证资格的引用。
2、 然后,企业与审核机构进行电话或者QQ沟通,确定审核时间,审核组审核实施,审核组按照审核计划的安排对获证组织进行审核,由于监督审核并不要求覆盖安全服务管理和安全服务能力的所有方面,在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。
监督审核原则上采取非现场审核的方式进行,非现场审核结束后,审核组根据审核结果确定是否需要进行现场审核和(或)现场见证,如果需要,审核组需向项目管理人员进行申请,项目管理人员根据获证组织的相关信息确定是否进行现场审核和(或)现场见证并进行相关活动的安排。
3、 最后,企业通过现场审核,审核组应该对收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果审核发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
审核结束,审核组应形成是否推荐保持认证注册的结论。
审核结束后3个工作日内审核组长完成审核报告。
中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:
1) 同意保持认证注册,颁发认证标志;
2) 补充认证决定所需的信息,包括但不限于申请材料、审核材料,再进行认证决定;
3) 不同意保持认证注册,做出暂停或撤销的决定,通知获证组织不同意保持的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织符合服务资质规范的要求。
1、1.公共管理类的资料提供近一年内的证明材料
2.信息系统安全集成类的资料提供近一年内的证明材料
3.提供上一年度的观察项报告及整改措施,并提供整改措施的证明文件
