业务连续性管理体系认证实施规则-中国信息安全认证中心
网络与信息安全管理员(4级)习题
网络与信息安全管理员(4级)习题一、单选题(共60题,每题1分,共60分)l、关于三层交换机三层转发是说法错误的是()。
A、三层交换机每一个三层转发的数据都要经过CPU处理B、三层交换机采用了和路由器的最长地址掩码匹配不同的方法,使用精确地址匹配的方式处理,有利千硬件实现快速查找C、三层交换机采用了Cache的方法,把最近经常使用的主机路由放到了硬件的查找表中,只有在这个Cache中无法匹配到的项目才D、绝大多数的报文处理都在硬件中实现了,只有极少数报文才需要使用软件转发正确答案: A2、NTFS以()为单位来存储数据文件。
A、簇B、元C、帧D、集正确答案: A3、以下哪种情形中,个人信息控制者共享、转让、公开披露个人信息需事先征得个人信息主体的授权同意()。
A、与公共安全、公共卫生、重大公共利益直接相关的B、与国家安全、国防安全直接相关的C、与犯罪侦查、起诉、审判和判决执行等直接相关的;D、与科学研究相关的正确答案: D4、关于OS PF路由协议以下说法不正确的是()。
A、OS PF是一种距离矢量路由协B、OS PF协议的默认管理距离是C、OS PF是一种内部网关协议D、OS PF是一种链路状态路由协正确答案: A5、当个人信息控制者停止运营其产品或服务时,下列做法不正确的是()。
A、在暗网出售个人信息B、及时停止继续收集个人信息的活动C、将停止运营的通知以逐一送达或公告的形式通知个人信息主体D、对其所持有的个人信息进行删除或匿名化处理正确答案: A6、根据《治安管理处罚法》的规定,阻碍国家机关工作人员依法执行职务属千妨害社会管理的行为,其中阻碍()依法执行职务的,从重处罚。
A、国家安全部门的工作人员B、人民警察C、消防人员D、急救人员正确答案: B7、根据我国有关规定,下列属千违禁品、管制物品的是()。
A、不具有杀伤性的仿真枪B、打火机、火柴C、化学品D、窃听窃照专用器材正确答案: D8、在Windows系统中,创建软件限制策略时,会增加一个()和“其他策略”项。
中国信息安全认证中心简介
产品认证类型
中国信息安全认证中心是唯一指定为国家信息安全 产品认证机构,负责实施国家信息安全产品认证。获得 国家信息安全产品认证证书的产品表明其符合相应的信 息安全规范和标准要求。
国家信息安全产品认证
产品认证类型
国家信息安全产品认证
产品认证类型
IT产品信息安全认ቤተ መጻሕፍቲ ባይዱ 非金融机构支付业务设施技术认证
产品认证类型
XBRL软件认证 电子产品认证
依据《财政部关于开展可扩展商业报告语言(XBRL) 技术规范系列国家标准符合性测试工作的通知》(财会 〔2012〕14号)和《关于开展可扩展商业报告语言 (XBRL)软件认证工作的实施意见》(国认证联[2013]55 号),中国信息安全认证中心对可扩展商业报告语言 (XBRL)软件产品进行认证。 依据《认证认可条例》和认证主管部门的相关文件 规定,中国信息安全认证中心对电子产品开展自愿性认 证业务。该业务的认证流程、检验标准、工厂检查要求 等依据中国信息安全认证中心公开的产品认证实施规则 进行。
产品认证类型
CCC产品认证 无线局域网产品认证
国家信息安全产品认证
IT产品信息安全认证 非金融机构支付业务设施技术认证
XBRL软件认证 电子产品认证
产品认证类型
CCC产品认证 无线局域网产品认证
中国信息安全认证中心是强制性产品认证指定认证 机构,负责实施音视频设备(08类)、信息技术设备 (09类)、电信终端设备(16类)强制性产品认证工作。 中国信息安全认证中心是国家指定的无线局域网产 品认证机构,负责实施无线局域网产品认证。
中国信息安全认证中心
China Information Security Certification Center
业务连续性管理体系(bcms)相关标准介绍
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
信息安全管理体系规范及使用指南
信息安全管理体系规X与使用指南BS 7799-2:2002中安质环认证中心质量总监周韵笙(译)附录B(信息性)本标准的使用指南B.1 总论B.1.1 PDCA模式建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。
此处所述的过程模式遵循一个连续的活动循环:策划、实施、检查和处理。
这可称之为一个有效验的循环,因为它的目的是确保你的组织的最佳做法是形成文件的,强化的并随时得到改进的。
B.1.2策划和实施持续改进的过程常需初次投资,包括:把做法形成文件,把风险管理的方法正规化,确定评审与分配资源的方法等。
这些活动用来启动循环。
它们不需在评审阶段积极开展之前全部就完成。
策划阶段用来确保ISMS的内容与X围已正确建立,信息安全风险已经评价,适当处理这些风险的计划已经编制,实施阶段则用来实施策划阶段已定决策与已识别的解决方案。
B.1.3 检查和处置检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。
评审可在任何时间和频度下进行,取决于对所考虑的情况是否是最适合的。
在有些系统中,它们可以建入计算机化的过程中以便立刻操作和反应。
其它的过程只需在有安全故障时,对受保护的信息财产进行改变或增加时,以与威胁和脆弱性发生改变时才作出反应。
最后需要进行每年或其它周期性的评审或审核,以确保整个管理体系正在实现其目标。
B.1.4 控制总结组织可能发现有一个控制总结(SOC)是有得的,SOC与组织的ISMS有关,而且是适用的。
这可以改善业务关系,例如通过提供一个适当的SOC(控制总结)而进行电子外包。
SOC可以饮食敏感信息,因此当使SOC内外部都可使用时,应以适合于接收者的方式小心对待。
注:SOC不是SOA的替代(见4.2.1h)。
SOA对于认证来说是强制性要求。
B.2 策划(Plan)阶段B.2.1 引言PDCA循环中的策划活动是为确保ISMS的内容和X围已正确建立,所有信息安全风险均已识别并评定,对这些风险的适当处理的计划已经编制而设计的。
业务连续性管理(BCM)国家标准诞生的背景与现实和历史意义
业务连续性管理(BCM)国家标准诞生的背景与现实和历史意义王金玉【摘要】This paper discusses around the national standards of Business Continuity Management (BCM), introduces the basic concept and the core goal of Business Continuity Management, standards developed by international and domestic background, standards development process and the next step of work planning, expounds the important significance of the standard.%本文围绕业务连续性管理(BCM)国家标准,介绍了业务连续性管理的基本概念和核心目标,标准研制的国际、国内背景,标准研制的过程及下一步工作计划,阐述了标准的重要意义。
【期刊名称】《办公自动化(综合版)》【年(卷),期】2014(000)006【总页数】4页(P30-33)【关键词】业务连续性管理;基本概念;国内外进展;重要意义【作者】王金玉【作者单位】中国标准化研究院北京 100191【正文语种】中文【中图分类】F850.49一、业务连续性管理概念随着计算机的应用和普及,商业模式发生了巨大变化。
人们的工作方式发生根本性改变,通过运用计算机大大提升了工作效率并且节省了大量的人力和物力。
人类生产生活对计算机的依赖性越来越强,信息系统的安全性要求也逐渐增长。
在20世纪60年代末,计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施。
这是最早体现业务连续性管理(BCM)思想的方法。
虽然当时并没有出现业务连续性的清晰概念,但部件冗余、容错等方法的采用,为增强计算机应用系统持续运行的能力,提供了重要的保障。
业务连续性管理体系概述
业务连续性管理体系概述近年来,自然灾害和人为事故频繁发生,组织环境的不确定性和风险大幅度增加,加强组织业务连续性管理成为打造最佳应急预案的必然选择。
为了满足组织对统一的业务连续性管理国际标准的需求,ISO公共安全技术委员会ISO/TC223着手组织制定业务连续性管理国际标准,2006年ISO在意大利佛罗伦萨召开了应急响应研讨会,ISO 22301标准制定工作就此启动,并与2012年5月正式发布。
由中国信息安全认证中心和中国标准化研究院起草的GB/T 30146-2013《公共安全 业务连续性管理体系 要求》已于近日正式颁布。
该标准等同采用国际标准ISO 22301:2012。
一、业务连续性管理体系的定义国家推荐标准GB/T 30146《公共安全 业务连续性管理体系 要求》中对业务连续性管理的定义为:识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
国家推荐标准GB/T 30146中对业务连续性管理体系(BCMS)的定义为:用于建立、实施、运行、监视、评审、保持和改进业务连续性,是一个组织整个管理体系的一部分。
简要来说,组织建立业务连续性管理体系目的在于通过实施和运行控制措施来管理组织应对中断事件的整体能力从而保障当组织的核心业务发生中断后(例如银行业ATM机故障导致所有ATM机无法存取款),在规定的时间内(例如我国银监会规定重要业务恢复事件不得多于4小时)将核心业务从中断事件中进行恢复,并通过控制措施保障组织在进行业务恢复过程中和业务恢复后能够与媒体、组织自身员工进行良好的沟通交流。
二、 业务连续性管理体系的起源业务连续性管理的发展与计算机技术的发展密不可分。
随着人类生产生活对计算机的依赖性越来越强,信息系统的安全要求也随之增长。
在20世纪60年代末,计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施。
业务连续性管理体系认证实施规则-中国信息安全认证中心
业务连续性管理体系认证实施规则ISCCC-BCMS-001:2016中国信息安全认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.信息收集 (2)3.2.现场审核 (2)3.3.现场见证(验证) (2)4.认证类别 (2)5.审核人员及审核组要求 (2)6.认证信息公开 (2)7.认证程序 (3)7.1.初次认证 (3)7.2.监督审核 (6)7.3.再认证 (9)7.4.管理体系结合审核 (9)7.5.特殊审核 (9)7.6.暂停、撤消认证或缩小认证范围 (10)8.认证证书 (11)8.1.证书内容 (11)8.2.证书编号 (11)8.3.对获证组织正确宣传认证结果的控制 (12)9.对获证组织的信息通报要求及响应 (12)10.附录A:审核时间 (13)1.适用范围本规则用于规范中国信息安全认证中心(简称中心)开展业务连续性管理体系(BCMS)认证活动。
2.认证依据以国家标准GB/T 30146-2013/ISO/IEC22301:2012《公共安全业务连续性管理体系要求》为认证依据。
3.术语和定义3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。
3.2.现场见证(验证)现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险所实施的关键活动而进行的,对关键活动的执行过程进行跟踪见证;现场验证是针对关键活动所采取的关键技术而进行的,以验证这些技术措施的功能能够得到实现。
3.3.现场评价现场评价包括现场审核和现场见证(验证)4.认证类型认证类型分为初次认证,监督审核和再认证。
一个认证周期内至少进行一次现场见证(验证)。
为满足认证的需要,中心可以实施特殊审核,特殊审核可以采取现场审核和现场见证(验证)等方式进行。
5.审核人员及审核组要求认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核员资格,取得资格的审核员中心应对其进行专业能力评价,以确定其能够胜任所安排的审核任务。
2022年第三期CCAA注册审核员ISMS信息安全管理体系考试题目含解析
2022年第三期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质2、组织通过哪些措施来确保员工和合同方意识到并履行其信息安全职责?()A、审查、任用条款和条件B、管理责任、信息安全意识教育和培训C、任用终止或变更的责任D、以上都不对3、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密4、计算机病毒系指_____。
A、生物病毒感染B、细菌感染C、被损坏的程序D、特制的具有损坏性的小程序5、信息安全控制目标是指:()A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B6、依据GB/T22080,网络隔离指的是()A、不同网络运营商之间的隔离B、不同用户组之间的隔离C、内网与外网的隔离D、信息服务,用户及信息系统7、以下哪项不属于脆弱性范畴?()A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯8、关于信息系统登录的管理,以下说法不正确的是()A、网络安全等级保护中,三级以上系统需采用双重鉴别方式B、登录失败应提供失败提示信息C、为提高效率,可选择保存鉴别信息的直接登录方式D、使用交互式管理确保用户使用优质口令9、下面哪一种属于网络上的被动攻击()A、消息篡改B、伪装C、拒绝服务D、流量分析10、信息安全管理中,以下哪一种描述能说明“完整性”()。
A、资产与原配置相比不发生缺失的情况B、资产不发生任何非授权的变更C、软件或信息资产内容构成与原件相比不发生缺失的情况D、设备系统的部件和配件不发生缺失的情况11、关于技术脆弱性管理,以下说法正确的是:()A、技术脆弱性应单独管理,与事件管理没有关联B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小C、针对技术脆弱性的补丁安装应按变更管理进行控制D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径12、组织应()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务连续性管理体系认证实施规则ISCCC-BCMS-001:2016中国信息安全认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.信息收集 (2)3.2.现场审核 (2)3.3.现场见证(验证) (2)4.认证类别 (2)5.审核人员及审核组要求 (2)6.认证信息公开 (2)7.认证程序 (3)7.1.初次认证 (3)7.2.监督审核 (6)7.3.再认证 (9)7.4.管理体系结合审核 (9)7.5.特殊审核 (9)7.6.暂停、撤消认证或缩小认证范围 (10)8.认证证书 (11)8.1.证书内容 (11)8.2.证书编号 (11)8.3.对获证组织正确宣传认证结果的控制 (12)9.对获证组织的信息通报要求及响应 (12)10.附录A:审核时间 (13)1.适用范围本规则用于规范中国信息安全认证中心(简称中心)开展业务连续性管理体系(BCMS)认证活动。
2.认证依据以国家标准GB/T 30146-2013/ISO/IEC22301:2012《公共安全业务连续性管理体系要求》为认证依据。
3.术语和定义3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。
3.2.现场见证(验证)现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险所实施的关键活动而进行的,对关键活动的执行过程进行跟踪见证;现场验证是针对关键活动所采取的关键技术而进行的,以验证这些技术措施的功能能够得到实现。
3.3.现场评价现场评价包括现场审核和现场见证(验证)4.认证类型认证类型分为初次认证,监督审核和再认证。
一个认证周期内至少进行一次现场见证(验证)。
为满足认证的需要,中心可以实施特殊审核,特殊审核可以采取现场审核和现场见证(验证)等方式进行。
5.审核人员及审核组要求认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核员资格,取得资格的审核员中心应对其进行专业能力评价,以确定其能够胜任所安排的审核任务。
审核组应由能够胜任所安排的审核任务的审核员组成。
必要时可以补充技术专家以增强审核组的技术能力。
具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。
技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
6.认证信息公开中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:1)认证服务项目;2)认证工作程序;3)认证依据;4)证书有效期;5)认证收费标准。
7.认证程序7.1.初次认证7.1.1.认证申请中心应要求申请组织的授权代表至少提供以下必要的信息:1)认证申请书,包括但不限于以下内容:a.申请认证的管理体系b.企业基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容c.法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));d.体系运行的时间;e.取得相关法规规定的行政许可文件(适用时)。
7.1.2.申请评审中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录,做出评审结论,以确定:1)所需要的基本信息都得到提供;2)申请组织的行业类别和与之相对应的管理体系管理的过程特性和管理要求;3)国家对相应行业的管理要求;4)中心与申请组织之间任何已知的理解差异得到消除;5)中心有能力并能够实施认证活动;6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;7)中心应建立关于审核人日的确定准则,根据受审核方的规模、特性、业务复杂程度、管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。
将确定后的人日数记录在审核方案中,审核人日的确定规则参考附录A。
7.1.3.建立审核方案在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核方),并由专职人员负责管理审核方案。
审核方案范围与程度的确定应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:1)审核方案的目标;2)审核的范围与程度、数量、类型、持续时间、地点、日程安排;3)审核准则;4)审核方法;5)审核组的选择;6)所需的资源,包括交通和食宿;7)处理保密性、信息安全、健康和安全,以及其它类似事宜。
7.1.4.确定审核组中心应根据受审核方的行业、规模和业务复杂程度组建审核组,指派审核组长。
审核组组建原则见第5章。
7.1.5.一阶段审核审核组应对受审核方开展一阶段审核,以确定:1)受审核方的管理体系得到策划和实施;2)受审核方的管理体系已运行,并有足够的证据证明其运行情况;3)受审核方对运行的管理体系进行了监视、测量、分析和评价,并有充分的证据;4)受审核方对管理体系进行了有效的持续改进;5)受审核方是否识别并遵守了相关的法律法规;6)受审核方有充足的资源保障现场审核的进行;7)受审核方哪些过程和控制措施需要进行现场见证或验证;8)是否可以开展现场审核和现场见证(验证)。
9)收集关于客户的管理体系范围、过程和场所的必要信息,包括:a)客户的场所b)使用的过程和设备c)所建立的控制的水平(特别是客户为多场所时)7.1.6.现场评价计划审核组应结合受审核方的申请材料、审核方案对现场评价的策划以及一阶段审核的结果对现场评价做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。
审核组长应至少在实施现场评价3个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
7.1.7.现场评价审核组按照审核计划的安排对受审核方进行现场评价,现场评价包括现场审核和现场见证(验证),这两种形式的评价可以同时进行也可以分开进行,主要考虑受审核方现场见证(验证)所需要的条件和环境。
如果现场审核与现场见证(验证)不同时进行,现场见证(验证)原则上在下一次监督审核之前完成。
现场见证(验证)在一个认证周期内至少进行一次。
现场评价应考虑一阶段审核结果,对受审核方的管理过程和控制措施的运行情况进行评价,对一阶段审核提出的问题改进情况进行验证。
现场审核的内容包括但不限于:a.组织环境(应对风险和机会的措施,管理目标和达标计划);b.领导(管理承诺,方针,组织的角色、责任和权限);c.策划(应对风险和机会的措施,管理目标和实现计划);d.支持(资源,能力,意识,沟通,文件化信息);e.运行(运行的策划和控制,业务影响分析和风险评估,业务连续性策略,建立和实施业务连续性程序,演练和测试);f.绩效评估(监视、测量、分析和评价,内部审核,管理评审);g.改进(不符合和纠正措施,持续改进)。
现场见证的内容主要针对业务连续性计划的演练过程见证,以确定受审核方业务连续性计划的演练能够验证和确保业务连续性计划的有效性。
需要根据受审核方的演练计划进行现场见证的安排。
如果现场见证过程中受审核方的业务连续性计划演练过程不满足标准要求,见证人员将开具不符合项,并决定中心是否需要在6个月内对受审核方再次进行现场见证,如再次见证后见证人员仍然认为演练无法通过,则对证书进行暂停。
7.1.8.初次认证的审核结论审核组应该对一阶段审核和现场评价中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场评价发现不符合项和观察项应开具不符合项报告,且获得受审核方认同。
现场评价结束,审核组应形成是否推荐认证注册的结论;如果现场审核和现场见证(验证)需要分开实施,且现场见证(验证)需要在现场审核结束后进行,审核组可以根据一阶段审核结果和现场审核的结果对受审核方的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐认证注册。
现场评价结束后(现场见证(验证)需在现场审核结束后实施时,现场审核结束视同现场评价结束),3个工作日内,审核组长完成审核报告编制工作,中心将与受审核方进行沟通,确保双方对报告的理解上没有歧义。
7.1.9.认证决定中心应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:a.同意认证注册,颁发认证证书;b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;c.不同意认证注册,并将理由通知受审核方。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实受审核方建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。
注1:参加审核的人员不能再作为认证决定人员实施认证决定。
注2:受审核方获得认证注册资格后变更为获证组织。
7.1.10.审核方案记录与变更审核方案管理人员应收集一阶段审核、现场评价和认证决定的信息,特别是形成的结论和变化的信息,记录到审核方案中。
并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.2.监督审核7.2.1.监督频次中心应在满足认可要求的基础上,根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。
当获证组织管理体系发生重大变更,或发生重大问题、业务中断事故、客户投诉等情况时,中心可视情况增加监督的频次。
监督审核的最长时间间隔不超过12个月。
由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的监督审核必须覆盖管理体系认证范围内的所有业务活动。
7.2.2.信息收集在进行监督审核之前,中心需要收集获证组织的管理体系相关信息,以确定获证组织的管理体系相关信息是否发生变化。
需要客户提供的信息包括以下几个方面:1)信息确认文件,包括但不限于:a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;b.组织信息:包括范围、组织架构、人员数量等信息的变化情况;c.管理体系相关信息,关键文件化信息的变化情况。
7.2.3.确定审核组中心应根据获证组织的行业、规模和业务复杂程度组建审核组,指派审核组长。
审核组组建原则,见第5章。
7.2.4.信息评审审核组应对获证组织的信息确认文件进行评审,以确定:1)获证组织的管理体系变化情况,尤其是管理体系范围的变化;2)是否需要修订审核方案。
7.2.5.制定现场评价计划审核组应结合获证组织的信息确认文件、审核方案对监督审核中现场评价的策划和一阶段审核的结果对现场评价做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。