审核评估申请 申请单位应提供数据安全能力成熟度评估申请表及其他必要附件材料,市场人员接收申请表,并根据认证依据、程序等要求,对申请方提交的认证申请书及相关资料进行审理,以确定:
1)所需要的基本信息都得到提供(特别指自评估信息的完整性);
2)公司与申请方之间任何已知的理解差异得到消除;
3)公司有能力并能够实施所申请的认证活动;
4)申请内容是否在评估范围内;
5)申请表填报信息是否完整;
6)申请方的运作场所、期望完成审核需要的时间和任何其他影响认证活动的因素;
审核通过的签订服务协议,对不予受理的申请应书面通知申请方。
合同签署 对通过审核的评估申请,按照公司合同签署流程签订服务协议。
服务协议签订后,业务部门管理者组建评估工作组并指定评估工作组组长,由评估工作组组长负责评估阶段各项工作组织。
需求分析 评估工作组应与申请单位进行需求沟通,明确本次评估目的、限制条件、评估范围及成果输出,并做出公正性和保密性承诺。需求澄清结果应征得工作组与申请单位代表的共同认可。
制定评估计划 评估工作组应制定详尽的实施计划,计划内容应包含但不限于评估内容及范围、现场评估地点、工作组分工、工作日程安排、项目中止条件等。
编制评估方案 评估工作组应编制满足需求的评估方案。
评估工作组依据认证依据和评估方案对申请方提交的文件资料开展审核,记录审核项结果,并将审核结论通知申请方。
文件审核内容包括:
1) 申请表信息是否完整
2) 企业是否基本具备所申请能力等级的基本条件
审核结论包括:
1)基本符合所申请能力等级要求,准许进入现场审核;
2)不符合所申请能力等级要求,退回申请或请申请方重新评估申请能力等级后再次提交申请;
3)文件资料不完整,需待申请方完成相应修订后重新审核给出结论;
组织实施评估,现场评估工作需在申请单位的主要经营和技术研发所在地。
开工会 评估工作组需在入场正式评估前与申请单位相关负责人及团队召开开工会,明确评估目标,对齐工作计划,宣布工作纪律及相应要求,确保在评估过程中能够得到必需的支持和配合。
现场评审 评估工作组依据认证依据和评估方案实施评估,评估过程需遵守保密性、公正性要求,运用合适的方法及工具对文件资料、人员、环境等开展现场评估,并如实记录审核项结果。
结果评定 评估工作组对评估过程中收集的信息和证据进行汇总分析,就评估结果达成一致,整理输出评估报告。在评估过程中发现的不符合项和建议项应开具不符合项和建议项报告。
不符合项整改 对审核中发现的不符合项,申请单位组织分析原因,并在不超过 3 个月期限内采取纠正和纠正措施。在组织完成整改或达到整改期限后,审核组对申请组织所采取的纠正和纠正措施及其结果的有效性进行验证。
结果汇报 评估工作组就评估结果召开汇报会议,向申请单位相关负责人及团队汇报评估报告、不符合项及建议报告,并就结果与申请单位达成一致。对未达成一致的评估结果,评估工作组应如实记录分析,向公司申请复核。
发证申请 评估组组长向认证决定人员提交书面评估结果, 申请证书发放。
结果复核 针对评估结果为“能力成熟度等级4:量化控制”、“能力成熟度等级5:持续优化”或有争议评估结果,组建复核工作组,开展结果复核,并给出复核结论。
证书发放 认证决定人员对于符合要求或完成复核的受审项目,颁发认证证书。
2、监督审查
对获得认证证书的组织,本机构将开展相应监督审查工作。监督审查相关要求:
1)每年度进行一次监督审核,周期不超过 12 个月;
2)若超过期限未能实施监督审核的,应按照《认证证书和标志的管理程序》对其进行管理;
3)当本机构收到关于获证组织发生重大数据安全事故或组织结构、人员等方面发生重大变更等信息或投诉,并认为需要核实的,本机构可增加现场监督审核的频次。
监督审核完成后,本机构根据监督审核情况和审核报告,作出保持、暂停或者撤销认证证书的决定。涉及证书状态变化的,需向证书持有者发出书面通知,收到被注销或撤销认证证书资格通知的组织,应于接到通知单的 5 个工作日内将证书交还至本机构。
本机构将在官方网站上公布年度监督审核结果。
证书有效期三年,若获证组织申请继续持有评估证书, 则应在评估证书有效期满前三个月向公司提出再评估申请,并提交相关资料。
再评估活动的流程与初次评估相同,再评估的认证决定通过后,为获证组织换发新的认证证书。
4、文件归档
评估结束后,工作组应整理并向公司提交相关材料归档,材料包含但不限于:数据安全能力成熟度评估申请表、评估计划及方案、评估报告、公正性申明、保密承诺函。归档文件保存期限6年。
获证组织有下列情形之一,应撤销其认证结果:
1)违规使用认证证书,并造成不良影响;
2)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
3)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请;
认证结果撤销后,获证组织应交回认证证书,公司公示后生效。
有效期内换发证书,认证证书编号中的机构注册号、年份号、顺序号保持不变,应注明换证日期。
申请单位因营业地址、注册资金或法定代表人等企业信息变更可提交证书变更申请,经公司审核批准后可发放新证,并回收原证书。
撤销认证的原认证证书编号废止,不再它用。