中国信息安全认证中心简介
- 格式:pptx
- 大小:1.47 MB
- 文档页数:8


第 1 页 共 7 页 投诉、申诉和争议处理程序 1. 目的 为了及时有效地处理来自客户或其他方面的投诉、申诉和争议,保证中心认证工作的准确性和公正性,特制定本程序。 2. 适用范围 2.1本文件按照CCRC-QM《质量手册》相关要求,规定了向中心的申诉、对中心和分包机构的投诉和争议处理的基本方针和程序,也规定了向中心提出对获证组织的投诉的处理程序。 2.2本文件适用于中心对申诉、投诉和争议的处理,适用于中心对获证组织投诉记录调阅和处理的管理,适用于中心对分包机构投诉的管理。 3. 职责 3.1 副主任 投诉、申诉和争议处理的主管领导 3.2 综合与质量部 负责实施和组织相关部门对投诉、申诉和争议的受理、登记与答复。 3.3 责任部门 负责纠正措施的制定与实施。 4.术语和定义 4.1 投诉 有关各方对本中心、与本中心合作的检测实验室和已通过认证的机构及三者第 2 页 共 7 页 的工作人员正式提出的与认证工作有关的不满意的正式声明。 4.2 申诉 申请方或已通过认证的机构或人员正式提出的就本中心、与本中心合作的检测实验室做出的与认证状态有关的决定或处理措施的不满意或检测结果有异议的正式声明。 4.3 争议 寻求认证的机构或个人与本中心、与本中心合作检测实验室在认证程序和认证技术问题方面不同意见的表述。 5.基本原则和方针 1)中心应制定投诉、申诉和争议的处理方针和程序; 2)处理投诉、申诉和争议的人员应在最近两年内与涉及投诉、申诉和争议的组织和相关的其它方无直接利益关系; 3)当对中心的投诉、申诉和争议处理结果持有异议,申诉/投诉者可向CNAS、CNCA反应或人民法院提出上诉; 4)投诉、申诉和争议处理工作人员应保持客观公正,对其所涉及到的任何与申诉、投诉有关的非公开信息负有保密的责任; 5)投诉的提交、调查和决定不应造成针对投诉人的任何歧视行为; 6)投诉、申诉和争议是可能存在不符合的一种信息源,负责中心质量工作的部门应确定不符合产生的原因,并在适当时采取纠正措施; 7)所有投诉、申诉和争议的处理期限原则不超过90天,如果涉及面较大,调查难度较大最长时限不超过180天; 8)中心对投诉处理过程各个层级的决定负责。 6. 投诉处理 第 3 页 共 7 页 6.1 投诉的范围 对CCRC或分包机构的工作人员的公正性、工作效率、工作方法、工作表现、业务能力和职业道德等方面的不满; 对CCRC或分包机构的认证政策、工作程序、技术要求和工作结果等方面的不满; 对通过CCRC认证的产品、过程和服务以及人员的能力、认证证书和标志的使用等方面的不满和异议; 对获证机构误用、冒用认可标志或误导性宣传的投诉。 6.2 投诉受理条件 1)以书面形式提出,包括邮件; 2)由投诉方签字或有投诉人的联系方式; 3)投诉方必须与事件直接相关或是了解事件真相的第三方; 4)一般在事件发生后30个工作日内提出。 6.3 投诉的受理 负责中心质量工作的部门负责受理满足条件的投诉,填写《投诉、申诉和争议处理单》。不符合受理条件的投诉要向投诉人做出相应的解释。 6.4 投诉的调查 负责中心质量工作的部门根据投诉的文件提供的线索、内容和性质,必要时需与中心纪委汇报,安排和事件无直接或间接关系的人员依据独立、公正的原则进行调查核实,充分了解双方当事人的全部信息和意见,必要时进行现场调查获取证据和出具《投诉调查报告》。调查方法包括询问当事人、审查资料、召集会议、咨询专家等。 如果是对于针对获证客户的投诉,中心还应在适当的时间将投诉告知该客户。 第 4 页 共 7 页 投诉处理人员的能力要求:具备良好的道德素质,熟悉质量管理知识,具有良好的沟通能力,具备良好的独立判断能力。 6.5 投诉的处理 负责中心质量工作的部门在调查结束后,根据不同情况,做出不同的处理决定,并形成书面报告,经部门复核,领导批准后,把处理的结果尽快通知投诉人和相关人员,并保存相关记录。 投诉方如果对中心的处理持有异议,可向CNAS、CNCA投诉或向人民法院提出上诉。 6.6 投诉的公开 中心应与客户及投诉人共同决定是否应将投诉事项公开,并在决定公开时,共同确定公开的程度,以及公开方式。 7.申诉处理 7.1申诉的范围 1)认证申请方对不受理认证申请的不满; 2)认证申请方和获证组织对认证决定的不满; 3)对CCRC做出的投诉或争议的处理意见提出异议。 7.2申诉受理条件 1)以书面形式提出,包括邮件; 2)由申诉方签字或有投诉人的联系方式; 3)一般在收到相关决定或处理意见后30个工作日内提出。 7.3申诉受理与处理 7.3.1负责中心质量管理工作部门受理满足条件的申诉,填写《投诉、申诉和争议处理单》。 7.3.2负责中心质量管理工作部门收到申诉文件后,向主管领导汇报,第 5 页 共 7 页 提出处理方案。 7.3.3中心应确保参与申诉处理过程的人员没有实施申诉涉及的检测、审核和检查,也没有做出申诉涉及的认证决定。对申诉的决定应由与申诉事项无关的人员做出。申诉处理人员的能力要求:具备良好的道德素质,熟悉涉及技术领域的知识和技能,处事客观公正,具备良好的判断能力。 7.3.4申诉处理原则应在30个工作日内,采取各种措施获取证据,包括如召集听证会议、听取双方证词、现场调查、向专家咨询等,作出客观、公正的判断,并向当事方提出一式两份的书面裁决。 7.3.5中心应对申诉处理过程中的所有决定负责。申诉方如果对中心的处理持有异议,可向CNAS、CNCA投诉或向人民法院提出上诉。 8.争议处理 8.1 争议范围 1)认证申请方或获证组织对认证申请程序与中心的不同意见; 2)认证申请方或获证组织对认证用标准/规范性文件的理解与中心的不同意见; 3)认证申请方或获证组织对认证审核/检查过程、抽样方法及其他技术问题与中心的不同意见。 8.2 争议受理条件 1)以书面或口头形式提出; 2)必须与事件直接相关; 3)应在事件发生后5个工作日内提出。 8.3 争议处理流程 8.3.1在认证申请受理过程的争议,经受理岗位人员解释无效的,提第 6 页 共 7 页 请部门负责人处理,必要时,报告质量管理者代表处理。 8.3.2在认证检测、审核/检查过程中提出的争议,一般的,由检测、审核/检查组长与受检测、审核/受检查方依据认证标准、认证方案等相关文件协商处理。对经协商仍不能取得一致意见的,检测、审核/检查组长有权先行决定。受检测、审核/受检查方可以通过本文件规定的程序向中心提出申诉。 8.3.3不在认证检测、审核/检查现场提出的争议,应以书面文件形式向中心负责质量管理工作的部门提出,由质量管理者代表指定有关人员研究提出处理意见。争议处理人员的能力要求:具备良好的道德素质,熟悉涉及技术领域的知识和技能,具备良好的沟通能力。由负责质量管理工作的部门将研究处理意见通知争议提出人。争议提出人对处理结果不满意的,可以通过申诉程序向中心提出申诉。 9. 后续措施 9.1投诉表示了可能的不符合的信息来源。中心应要求获证客户组织在收到投诉后,确定投诉的原因,其中包括任何由于客户组织的ISMS/产品/服务等业务所导致(或诱发)投诉的因素,并在适当时向中心报告投诉的原因。中心应要求获证客户应利用调查投诉的时机,制定补救和(或)纠正的措施: 1) 保存投诉的记录,以便中心在要求时提供; 2) 对影响认证要求符合性的任何缺陷,采取适当的措施; 3) 如果法规要求时,通知相应的权力机构; 4) 恢复符合性; 5) 防止再发生; 6) 评价和减小任何负面安全事件及其相关影响; 7) 确保与ISMS其他组成部分的满意的相互作用; 8) 评价所采用的补救和(或)纠正措施的有效性。 9.2中心负责质量管理工作部门每年一月份对上一年客户的意见(包括投诉、申第 7 页 共 7 页 诉和争议)及处理情况进行汇总,形成《客户意见汇总表》作为管理评审的输入之一。 a) 中心负责质量管理工作部门对所有的客户意见进行统计分析,提出质量改进计划,并将其结果作为管理评审的输入。 b) 对于在投诉和申诉中发生不符合,应按照《不符合控制、纠正及预防措施程序》进行处理。 c) 对于在投诉/申诉/争议中发现的获证组织的不符合,中主质量管理工作部门应给予关注。必要时,要求获证组织提供其投诉的所有记录,以确定是否存在影响认证要求符合性的如何缺陷,并采取适当的措施。
1 《信息安全服务资质认证规范》
的编制说明
(一)制定认证技术规范的必要性;
信息安全服务资质认证的对象是一个组织,组织资格、背景、管理、服务技术与人员管理、资产管理、环境管理、财务等方面的管理都需要对其进行评价、认证,组织提供服务的结果是保证被服务信息运行的平台是安全、可信的。信息安全服务结果的好坏、服务组织的综合能力高低、人员的综合能力的高低直接影响到被服务单位的信息安全问题。所以一个服务组织的信息安全服务资质的能力必须经过认证才能从客观上保证其能力是满足的。
信息安全服务资质管理可有效防范和控制有不同背景的企业提供信息安全服务给国家安全带来的潜在安全威胁。资质认证将有助于保证用户合法权益、规范和促进信息安全服务市场的发展;有效解决人员流动带来的管理失控等问题。信息安全服务是把双刃剑,由信息安全服务带来的安全问题有时可能比外在的安全问题更加严重,加强信息安全服务资质管理已成当务之急。所以信息安全服务是一个全方位的服务,信息安全服务的结果直接决定信息的传输、储存是否安全,认证信息安全服务能力对组织的发展、行业的发展、国家的安全起到相当重要的作用。所以信息安全服务资质认证的发展对我国整体提高信息安全保障能力起到极大的作用。从产业发展角度看,规范和促进信息安全服务市场有利于信息安全服务商水平和能力的提高,通过资质认证建立技术壁垒,也可以达到扶持国内民族产业发展的目的。
(二)与相关法律法规以及国家有关规定的关系; 2 2003年中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文),提出了建立信息安全认证认可体系的要求。在2006年底的国务院信息化办公室网络与信息安全协调小组会议上决定由国家认证认可监督管理委员会(简称:认监委)牵头建立信息安全服务资质认证认可制度,这项制度是建立统一的信息安全认证认可体系的一个重要组成部分。
(三)与现行标准的关系,包括存在的差异及理由;
信息安全管理体系认证流程
信息安全管理体系认证是企业在信息安全方面的重要认证之一,它可以帮助企业建立完善的信息安全管理体系,提高企业的信息安全水平,保护企业的核心信息资产。下面将详细介绍信息安全管理体系认证流程。
一、准备阶段
1.确定认证标准:企业需要根据自身实际情况选择适合自己的认证标准,如ISO/IEC 27001等。
2.确定认证机构:选择一家权威可信赖的认证机构进行认证。
3.组建项目组:由公司内部组建一个项目组负责整个认证流程的执行和跟进工作。
4.制定计划:项目组需要制定详细的计划表,包括时间节点、任务分配、人员安排等。
5.开展内部培训:为了让员工更好地理解和掌握信息安全管理体系,项目组需要对员工进行相关培训。
二、实施阶段
1.编写文件:根据所选的认证标准和要求,项目组需要编写相关文件,如政策、程序、指南等。
2.开展内部审核:项目组需要对公司内部进行审核,发现问题并及时解决。
3.修正文件:根据审核结果和反馈意见,项目组需要对编写的文件进行修正和完善。
4.实施文件:项目组需要将编写好的文件在公司内部进行推广和实施。
5.开展模拟审核:为了检验公司的信息安全管理体系是否符合认证标准,项目组需要开展模拟审核,发现问题并及时解决。
6.整理材料:项目组需要整理相关材料,包括政策、程序、指南、审核记录等。
三、认证阶段
1.申请认证:项目组需要向所选的认证机构提交申请,并提供相关材料。
2.初审:认证机构对企业提交的材料进行初审,并安排现场审核时间。
3.现场审核:认证机构派出专业人员对企业进行现场审核,包括对文件、流程、设备等方面的检查和验证。
4.发现问题:在现场审核中,如发现问题或不符合要求的地方,认证机构会提出相应的问题和建议。
5.整改措施:企业需要根据提出的问题和建议制定整改措施,并在规定时间内完成整改工作。
6.复审:经过整改后,认证机构再次对企业进行复审,并确认是否符合要求。
中国信息安全评测中心
中国信息安全评测中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全产业的重要组成部分,是国家信息安全认证的权威机构。成立于2003年,是由国家密码管理局主管,中国信息通信研究院具体承担的专业机构。
中国信息安全评测中心的主要职责包括对信息系统产品进行安全性和功能性评测,对信息系统产品进行认证,开展信息安全技术研究与标准制定等工作。其评测范围涵盖了计算机系统、网络设备、安全产品、智能卡、密码产品等多个领域。
作为国家级的信息安全评测机构,中国信息安全评测中心拥有一支高素质的专业评测团队,拥有先进的评测设备和严格的评测流程。在信息安全评测领域具有丰富的经验和权威的声誉,得到了政府、企业和用户的广泛认可。
中国信息安全评测中心的评测工作严格遵循国家和行业标准,注重评测结果的客观性和公正性。评测报告具有权威性和可信度,对产品的安全性能和功能性能进行了全面、深入的评估和测试,为用户选择和使用信息安全产品提供了重要参考依据。
中国信息安全评测中心还积极参与国际信息安全认证的合作与交流,与国际知名的信息安全评测机构保持密切联系,开展国际合作项目,提升中国信息安全评测的国际影响力和竞争力。
未来,中国信息安全评测中心将继续致力于信息安全评测与认证工作,不断提升评测能力和水平,推动信息安全技术的创新与发展,为国家信息安全产业的健康发展和信息社会的安全建设作出更大的贡献。
中国信息安全评测中心,将始终坚持“客观、公正、权威、可信”的评测理念,为保障国家信息安全和用户利益而努力奋斗!