信息安全管理体系认证机构申请指南.docx

1、信息安全管理体系认证机构申请指南信息安全管理体系认证机构申请指南4信息安全管理体系认证机构申请申请总体流程1、向国家认监委申请设立认证机构，认证领域包括质量管理体系认证（ISO9001）2、通过审查，成为国家认监委批准的认证机构，具有质量管理体系认证资格。3、将质量管理体系认证资格保持三年，并有效的发出过认证证书。4、三年后，认证机构申请扩大业务范围，增加信息安全管理体系认证资格。5、通过审查，增加信息安全管理体系认证资格申请设立认证机构指南一、设立认证机构的基本条件(一)具有固定的办公场所和必备设施。认证机构的固定办公场所必须是符合工商管理部门规定的商业办公场所。住宅不能作为认证机构的办公场

2、所。固定办公场所是将要登记在认证机构的企业法人营业执照中的住所，该场所能够集中容纳满足认证业务范围和业务工作量相适应的功能部门（如合同管理、审核组调配、审核决定、制发证书、人员培训、财务、人力资源等等）、人员（如高级管理人员、专职认证人员、功能部门人员等等）和必备设施。认证机构的必备设施是开展认证活动所必须的工作设施，包括档案保管设施、认证业务处理系统、证书印制设施、认证人员培训设施以及工作人员的桌椅、文件柜、电脑、电话等基本办公设施。属于产品认证机构的还需具备产品储存室和检测产品的实验室。（二）具有符合认证认可要求的章程和管理制度。认证认可要求包括认证认可条例和认证机构管理办法对认证机构的各

3、项规定、认证业务范围相对应的认证制度对认证机构的要求、认可准则对认证机构的要求、认证所依据的标准或技术规范等。认证机构的章程在符合公司法相关规定的基础上，还应符合认证认可要求。如：组织架构应该符合GB/T 27021合格评定管理体系审核认证机构的要求或GB/T 27065合格评定产品认证通用要求的相关要求；运作机制要符合公正性、公信力和无利益冲突的原则；高级管理人员应具有相应的认证认可工作经历且无不良记录；出资者不能向不符合条件的他人转让出资等等。符合认证认可要求的管理制度包括用于规范认证机构及认证行为的认证机构工作制度、质量手册、程序文件、作业指导书和相应的记录表格等。（三）注册资本不得少于

4、人民币300万元；出资人符合国家有关法律法规以及相关规定要求，并提供相关资信证明。认证机构注册资本300万的最低限额为出资者实缴的货币资本。申请设立认证机构时注册资本中的货币金额为公司实收资本并提交依法设立的验资机构出具的验资证明。出资者不能对认证业务的公正性、独立性产生冲突或影响。法人出资者不应是认证咨询机构、产品生产企业以及商贸服务业和旅游业等竞争性较强行业的企业。自然人出资者应具有连续八年以上认证认可工作经历，并且没有在上述企业投资或担任高级管理人员，同时应个人资信良好，且没有不良记录。法人出资者的资信证明为与出资人有资金往来的银行出具的资信证明。个人出资者的资信证明为连续存期已超过一年

5、的不少于出资额的银行存款证明。（四）具有10名以上相应领域执业资格和能力的专职认证人员。申请设立认证机构时只能申请从事一个领域的认证业务（可以申请的认证领域见附录一）。认证机构设立并正常开展业务一年以上且通过相应的认可、符合相关要求方可申请扩大认证业务范围。申请设立认证机构时在申请从事认证的领域须有10名以上专职认证人员（专职认证人员都是指管理体系认证审核员或产品认证检查员），专职认证人员的数量和级别要求见附件一。专职认证人员是认证机构的正式职工。申请设立认证机构时，所有专职认证人员应与原工作单位解除劳动关系，待申请获得批准并完成公司登记后设立的认证机构须按照劳动合同法和社会保险法的规定与所有

6、专职认证人员建立劳动关系。（五）认证机构董事长、总经理（主任）和管理者代表（以下统称高级管理人员）应当符合国家有关法律、法规以及国家质检总局、国家认监委相关规定要求，具备履行职务所必需的管理能力。1、有下列情形之一的，不得担任认证机构的高级管理人员：(1)无民事行为能力或者限制民事行为能力；(2)因犯罪曾经被判处刑罚；(3)担任破产清算的公司、企业的董事或者厂长、经理，对该公司、企业的破产负有个人责任的，自该公司、企业破产清算完结之日起未逾三年；(4)曾经担任因违法被吊销营业执照、责令关闭的公司、企业的法定代表人；(5)个人所负数额较大的债务到期未清偿。2、高级管理人员应熟悉认证认可工作，有八

7、年以上从事认证认可工作的经历。3、高级管理人员应参加过国家认监委组织的认证机构高级管理人员培训班且每次培训考试合格。二、设立认证机构的申请材料要求、申请方式和审批程序设立认证机构的申请材料、申请程序及审批时限和结果（一）设立中资认证机构的申请材料要求见附录二。（二）申请者代表（设立中资认证机构为由全体股东指定代表或者共同委托代理人，设立外商投资认证机构为“法律文件送达授权委托书”确定的被授权人）持书面的申请材料到质检总局政务大厅认证机构审批服务台办理认证认可行政审批在线服务系统用户登记、获取用户名和密码、领取行政审批在线服务系统使用指南；（三）持行政审批在线服务系统使用指南到中国认证认可协会办

8、理专职认证人员信息录入事项；（四）进入认证认可行政审批在线服务系统提交相应申请；（五）审批程序1、受理：国家认监委在审批系统中接收申请材料，对申请人提交的材料进行审查，5日内做出受理、通知补正材料的决定。（申请人在认证认可行政审批在线服务系统中可查看受理或补正通知书）2、公示：国家认监委受理申请后即把申请人的申请材料相关内容放在网上公示30天。3、专家评审：国家认监委在审批系统的专家库中选择专家组成评审组，评审组人员在30日内完成评审并写出评审意见。4、审批：国家认监委根据专家评审意见、收到的公示反馈意见及必要的调查情况形成审核结论、作出审批决定。5、出具审批文书：审批决定为准予许可的，向申请

9、人出具认证机构设立通知书；审批决定为不予许可的，向申请人出具不予行政许可决定书。6、申请人办理公司登记：设立内资认证机构的申请人应于30日内持认证机构设立通知书到工商管理部门申请公司设立登记。设立外商投资认证机构的申请人应于30日内持认证机构设立通知书到商务部门申请外商投资公司批准，获得商务部门批准后30日内持认证机构设立通知书和商务部门批准文件到工商管理部门申请公司设立登记。7、申请人领取认证机构批准书：申请人获得企业法人营业执照60日内，持营业执照副本原件和复印件及本次设立认证机构申请材料中包含的所有专职审核员的专职证明（即申请人为专职审核员办理社会保险的凭证）原件和复印件到国家认监委领取

10、认证机构批准书。申请扩大认证业务范围指南一、申请扩大认证业务范围的基本条件1.认证机构从获得认证机构批准书起正常开展业务一年以上、符合GB/T 27021合格评定管理体系审核认证机构的要求或GB/T 27065合格评定产品认证通用要求的相关要求。2.认证机构申请扩大业务范围前1年内应没有违法违规行为（如果分支机构或办事处有违法违规行为，认证机构也有连带责任）。二、信息安全管理体系(ISMS)认证从业条件和申请材料要求（一）、申请条件1.申请者是国家认监委批准的认证机构，并具有三年以上质量管理体系认证从业资格；2.有10名以上具备ISMS认证职业资格的专职审核员，专职审核员取得ISMS相关专业学

11、士以上学位。3.专职审核员应符合下列条件：(1)取得国家注册ISMS审核员资格；(2)是认证机构的正式职员。4.在一年内没有违法违规行为。5.与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007合格评定管理体系审核认证机构的要求，且在提交申请前两个年度内的认可评审中没有严重不符合项;（二）、申请材料目录1申请书及基本条件情况1.1认证机构申请书（申请扩大认证业务专用，格式见附件1）1.2企业法人营业执照副本（或事业单位法人证书）1.3股东名单及出资额1.4办公场所的内部平面图（应标注大致尺寸和面积，管理层人员及各业务部门的办公位置）1.5开展认证业务的信息管理系

12、统的简介1.6已开展认证业务的项目，每个项目发出有效认证证书的数量1.7获认可机构颁发的认可证书1.8国家相关部门颁发的保密资质证书(如有则提交)2现有组织架构及运行情况2.1组织结构文件：包含最高管理层和工作部门的组织结构图及各自任务、责任和权力的说明2.2维护公正性委员会的成员名单及描述该委员会的组成、权限、任务、权利、成员能力和责任的文件2.3维护公正性委员会最近一次履行职能的记录（如会议纪要等）2.4最近一次管理评审及内审报告2.5认可机构最近一次对申请者评审的报告(获多个认可机构颁发证书的，应包含每个认可机构的评审报告)3符合ISMS相关的认证认可要求的管理制度文件3.1开展ISMS

13、认证的可行性报告，基本内容应该包含：认证依据概述、国家相关政策及法律法规的要求、认证市场分析、国内外认证现状、申请者技术能力分析及人力资源配备、进入该领域开展认证的优势等3.2开展ISMS认证的质量手册3.3开展ISMS认证的程序文件3.4开展ISMS认证的作业指导书3.5拟签发ISMS认证证书的样本4申请者的人员资料4.1认证机构管理层人员基本信息表（按附件2的格式填写）4.2不少于10人的具有国家注册ISMS认证审核员资格的专职审核员名单（该名单将从认证认可行政审批在线服务系统相关页面显示的申请者名下有相应职业资格的人员中点选，确定后自动生成名单）4.2.1每位专职审核员的身份证(非中国内地居民为就业证)4.2.2每位专职审核员的国家注册ISMS认证审核员资格证明4.2.3每位专职审核员的劳动合同4.2.4每位专职审核员是申请者正式职员的证明(写明工作单位是申请者的社会保险凭证、主管人事部门出具的事业单位在编证明或者写明工作单位是申请者的外国人就业证或台港澳人员就业证)4.2.5每位专职审核员的专职认证人员声明（按附件3的格式填写）4.2.6每位专职审核员在ISMS相关专业的学位证书(ISMS相关专业表见附件4)4.2.7每位专职审核员从事过与信息技术有关的质量管理体系(即质量管理体系认