400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

信息安全服务资质年审的流程

信息安全服务资质年审的流程:
1、制定审核计划
审核组应结合获证组织的信息确认文件、自评估信息、审核方案对监督审核的策划和前一次审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排、现场见证和会议的安排。审核组长应至少在实施现场审核5个工作日之前,审核方就审核计划进行充分沟通,确保双方没有歧义。
监督审核并不覆盖认证依据所有条款,监督审核的抽样采取抽样的方式进行,抽样准则为:
1) 两次监督审核必须覆盖标准所有条款和所有部门;
2) 标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3) 获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4) 审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括对以下方面:
1) 对上次审核中确定的不符合采取的措施;
2) 投诉的处理;
3) 安全服务管理与安全服务能力在实现获证客户目标的有效性;
4) 为持续改进而策划的活动的进展;
5) 持续的运作控制;
6) 任何变更;
7) 标志的使用和(或)任何其他对认证资格的引用。
2、审核计划实施
企业与审核机构沟通,确定审核时间,审核组审核实施,审核组按照审核计划的安排对获证组织进行审核,由于监督审核并不要求覆盖安全服务管理和安全服务能力的所有方面,在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。
监督审核原则上采取非现场审核的方式进行,非现场审核结束后,审核组根据审核结果确定是否需要进行现场审核和(或)现场见证,如果需要,审核组需向项目管理人员进行申请,项目管理人员根据获证组织的相关信息确定是否进行现场审核和(或)现场见证并进行相关活动的安排。
3、形成监督审核结论
审核组应该对收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果审核发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
审核结束,审核组应形成是否推荐保持认证注册的结论。
审核结束后3个工作日内审核组长完成审核报告。
4、作出认证决定
中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:
1) 同意保持认证注册,颁发认证标志;
2) 补充认证决定所需的信息,包括但不限于申请材料、审核材料,再进行认证决定;
3) 不同意保持认证注册,做出暂停或撤销的决定,通知获证组织不同意保持的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织符合服务资质规范的要求。
阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:导致信息安全服务资质证书失效的注意事项      阅读下一篇新闻:信息安全服务资质(CCRC)年审注意事项

服务案例查看更多