2009年第47号
为促进我国服务贸易产业发展,满足社会相关业界对信息安全管理体系认证服务的需求,根据《中华人民共和国认证认可条例》的规定,国家认监委决定正式开展信息安全管理体系认证工作,现将相关事项公告如下:
一、认证依据
信息安全管理体系认证统一采用中华人民共和国国家标准GB/T22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》。
二、资质条件
符合下列条件的认证机构可以申请开展信息安全管理体系认证业务:
(一)经国家认监委批准并具有三年以上质量管理体系认证从业资格;
(二)在信息安全管理体系认证领域有10名以上专职审核员。专职审核员应符合下列条件:
1.与认证机构签订劳动合同的正式职员;
2.有信息安全相关专业本科以上学历并取得相应的学位证书;
3.有从事与信息技术有关的质量管理体系认证经历;
4.三年内没有违反认证人员管理相关规定的记录;
5.取得信息安全管理体系认证领域国家注册审核员资格(在信息安全管理体系认证领域的国家注册审核员制度建立之前,具有中国认证认可协会出具的信息安全管理体系认证审核员能力确认证明)。
(三)两年内没有违反认证认可法规的记录;
(四)与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007《合格评定 管理体系审核认证机构的要求》,且在提交申请前两个年度内的认可评审中没有严重不符合项;
(五)国家认监委规定的其他条件。
三、审批程序
(一)符合条件的认证机构通过《认证认可行政审批在线服务系统》提交申请。
(二)国家认监委按照法定程序对《认证认可行政审批在线服务系统》受理的申请进行审核,符合从业条件的认证机构批准后换发具有信息安全管理体系认证资质的《认证机构批准书》,并在国家认监委网站上公布。
(三)对获准开展信息安全管理体系认证业务并具有国家相关部门颁发保密资质证书的认证机构,在《认证机构批准书》中标注其保密资质信息。
(四)前期获准开展信息安全管理体系认证试点工作的认证机构,无需再次提交申请。国家认监委将按照本公告第二条确定的条件对相关认证机构进行审核,符合条件的换发《认证机构批准书》并在网上公布相关信息;不符合条件的要求限期满足资质条件要求,逾期仍达不到的将注销相应的认证资格。
四、工作要求
(一)中国合格评定国家认可中心、中国认证认可协会应建立和完善信息安全管理体系认证机构认可制度和审核员注册制度,相应制度经国家认监委批准后,适时正式开展认证机构认可和审核员注册工作。
(二)获准开展信息安全管理体系认证业务的认证机构应按照统一要求及时向国家认监委上报相关认证信息。
二○○九年九月二十七日
