認證流程
1、組織應建立符合BS7799-2標準要求的文件化信息安全管理體系,在申請認證之前應完成內部審核和管理評審,並保證體系的有效、充分運行三個月以上;
2、組織應向認證機構提供信息安全管理體系運行的充分信息,對於多現場應說明各現場的認證範圍、地址及人員分布等情況,認證機構將以抽樣的方式對多現場進行審核;
3、組織如要求,可向認證機構提出預審核的申請;
4、認證分兩個階段進行:第壹階段文件審核,文件審核可在組織現場或非現場進行;第二階段現場審核;
5、獲得認證後每年進行壹次監督;
6、當組織的信息安全管理體系出現變化,或出現影響信息安全管理體系符合性的重大變動時,應及時通知認證中心;認證中心將視情況進行監督審核、換證審核或復審以保持證書的有效性;
認證內容
依據國家信息安全管理的法律法規、《認證認可條例》及實施規則,在指定的業務範圍內,對信息安全產品實施認證,並開展信息安全有關的管理體系認證和人員培訓、技術研發等工作。具體包括:
1、在信息安全領域開展產品、管理體系等認證工作;
2、對認證及與認證有關的檢測、檢查、評價人員進行認證標準、程序及相關要求的培訓;
3、對提供信息安全服務的機構、人員進行資質培訓、註冊;
4、開展信息安全認證、檢測技術研究工作;
5、依據法律、法規及授權從事其他相關工作。
關於認證申請:
1、認證的基本環節:
2、認證申請與受理;
3、文檔審核;
4、現場審核;
5、認證決定;
6、年度監督審核。
7、初次申請服務資質認證時,申請單位應填寫認證申請書,並提交資格、能力方面的證明材料。申請材料通常包括:
8、服務資質認證申請書;
9、獨立法人資格證明材料;
10、從事信息安全服務的相關資質證明;
11、工作保密制度及相應組織監管體系的證明材料;
12、與信息安全風險評估服務人員簽訂的保密協議復印件;
13、人員構成與素質證明材料;
14、公司組織結構證明材料;
15、具備固定辦公場所的證明材料;
16、項目管理制度文檔;
17、信息安全服務質量管理文件;
18、項目案例及業績證明材料;
19、信息安全服務能力證明材料等。