為促進我國服務貿易產業(yè)發(fā)展,滿足社會相關業(yè)界對信息安全管理體系認證服務的需求,根據《*人民共和國認證認可條例》的規(guī)定,*認監(jiān)委決定正式開展信息安全管理體系認證工作,現將相關事項公告如下:
一、認證依據
信息安全管理體系認證統(tǒng)一采用*人民共和國*標準GB/T22080-2008/ISO/IEC 27001:2005《信息技術 安全技術 信息安全管理體系 要求》。
二、資質條件
符合下列條件的認證機構可以申請開展信息安全管理體系認證業(yè)務:
?。ㄒ唬┙?認監(jiān)委批準并具有三年以上質量管理體系認證從業(yè)資格;
?。ǘ┰谛畔踩芾眢w系認證領域有10名以上專職審核員。專職審核員應符合下列條件:
1.與認證機構簽訂勞動合同的正式職員;
2.有信息安全相關專業(yè)本科以上學歷并取得相應的學位證書;
3.有從事與信息技術有關的質量管理體系認證經歷;
4.三年內沒有違反認證人員管理相關規(guī)定的記錄;
5.取得信息安全管理體系認證領域*注冊審核員資格(在信息安全管理體系認證領域的*注冊審核員制度建立之前,具有*認證認可協(xié)會出具的信息安全管理體系認證審核員能力確認證明)。
?。ㄈ﹥赡陜葲]有違反認證認可法規(guī)的記錄;
?。ㄋ模┡c信息技術有關的質量管理體系認證業(yè)務范圍的認證能力符合GB/T 27021-2007《合格評定 管理體系審核認證機構的要求》,且在提交申請前兩個年度內的認可評審中沒有嚴重不符合項;
(五)*認監(jiān)委規(guī)定的其他條件。
三、審批程序
?。ㄒ唬┓蠗l件的認證機構通過《認證認可行政審批在線服務系統(tǒng)》提交申請。
?。ǘ?認監(jiān)委按照法定程序對《認證認可行政審批在線服務系統(tǒng)》受理的申請進行審核,符合從業(yè)條件的認證機構批準后換發(fā)具有信息安全管理體系認證資質的《認證機構批準書》,并在*認監(jiān)委網站上公布。
(三)對獲準開展信息安全管理體系認證業(yè)務并具有*相關*頒發(fā)保密資質證書的認證機構,在《認證機構批準書》中標注其保密資質信息。
?。ㄋ模┣捌讷@準開展信息安全管理體系認證試點工作的認證機構,無需再次提交申請。*認監(jiān)委將按照本公告第二條確定的條件對相關認證機構進行審核,符合條件的換發(fā)《認證機構批準書》并在網上公布相關信息;不符合條件的要求限期滿足資質條件要求,逾期仍達不到的將注銷相應的認證資格。
四、工作要求
(一)*合格評定*認可中心、*認證認可協(xié)會應建立和完善信息安全管理體系認證機構認可制度和審核員注冊制度,相應制度經*認監(jiān)委批準后,適時正式開展認證機構認可和審核員注冊工作。
?。ǘ┇@準開展信息安全管理體系認證業(yè)務的認證機構應按照統(tǒng)一要求及時向*認監(jiān)委上報相關認證信息。
二○○九年九月二十七日