关于《信息安全管理体系认证规则》要求的客户告知函
尊敬的认证客户:
根据国家认证认可监督管理委员会(CNCA)发布的《信息安全管理体系认证规则》(CNCA-ISMS-01:2026,以下简称“《规则》”)及其释义,《规则》将于2026年3月1日起正式实施。为确保贵组织认证活动合规性及证书持续有效性,现就部分《规则》的要求函告如下:
一、《规则》要求摘录(条款编号同《规则》)
5.1认证申请
5.1.2条款:提出认证申请时,认证委托人应满足以下基本条件:
(1)取得合法主体资格,并处于有效期内;
(2)取得相关法律法规规定的行政许可(适用时),并处于有效期内;
(3)已按认证标准建立ISMS,且运行满三个月;
(4)因获证组织自身原因被原发证机构暂停、注销或撤销ISMS认证证书已满一年(适用时);
(5)原ISMS认证证书发证机构被国家认监委撤销ISMS认证资质已满三个月(适用时);
(6)当前未被行政监管部门责令停产停业整顿;
(7)当前未列入“国家企业信用信息公示系统”和“信用中国”发布的严重违法失信名单;
(8)一年内未发生重大及以上级别的网络安全事件;
注:网络安全事件级别依据GB/T 20986判定。
(9)其他应具备的条件。
5.1.3条款:认证机构应要求认证委托人提供以下信息和文件资料:
(1)认证申请,包括认证委托人的名称、地址、认证依据的标准、申请的认证范围、认证范围内人员数量及影响体系有效性的外包过程;
(2)法律地位的证明文件,当 ISMS 覆盖多个法律实体时,应提供每个法律实体的法律地位证明文件;
(3)申请认证范围所涉及的网络安全法律法规要求的行政许可文件、资质证书等(适用时);
(4)组织机构及职责;
(5)生产/服务的流程、班次及轮班情况;
(6)ISMS 运行满三个月的证据;
(7)一年内所发生的与网络安全相关的行政处罚以及整改情况(适用时);
(8)其他需要提供的文件。
5.2申请评审
5.2.3条款:对于新的认证委托人,仅在同时满足下列情况的前提下,认证机构可实施认证转换,否则应按照初次认证开展认证活动:
(1)认证机构具有认证委托人申请认证的 ISMS 认证范围的认可资格;
(2)认证委托人持有其他被认可的认证机构(原认证机构)颁发的带认可标识的 ISMS 认证证书(原认证证书);
(3)原认证证书处于有效期内,未被原认证机构实施暂停或撤销;
(4)原认证机构认证业务正常运行,不存在认可资格到期、被暂停或撤销的问题;
(5)认证机构应获得认证委托人初次认证审核报告或最近一次的再认证审核报告、监督审核报告、审核中发现的不符合及其纠正措施。
5.3认证合同及相关责任
5.3.1条款:通过申请评审的,认证机构应与每个认证委托人签订具有法律效力的认证合同,明确认证服务的费用、付费方式和违约条款,及认证委托人、认证机构和获证组织的责任。认证费用应由认证委托人向认证机构直接支付。
5.3.3条款:认证委托人应遵守认证程序要求,如实提供相关材料和信息,配合认证行政监管部门的监督检查和认证机构对投诉的调查,及时向认证机构通报 ISMS 及 5.1.2 中条件的变更情况,承担选择的认证机构资质被撤销而带来的认证活动终止、认证证书无法使用的风险。
5.3.4条款:获证组织应遵守认证程序要求,如实提供相关材料和信息,通过ISMS认证后持续有效运行ISMS,配合认证行政监管部门的监督检查和认证机构对投诉的调查,在广告、宣传等活动中正确使用认证证书、认证标志和有关信息,及时向认证机构通报ISMS及5.1.2中条件的变更情况,承担选择的认证机构资质被撤销而带来的认证证书无法使用的风险。
5.4.1.4条款:初次认证及再认证后的第一次监督审核应在认证证书签发之日起 12 个月内进行。此后,监督审核间隔不应超过 12个月。
5.4.1.5条款:认证机构应考虑认证委托人不同班次完成的过程,以及其所证实的对每个班次的 ISMS 控制水平来策划对不同班次实施的审核程度,以确保审核的有效性:
(1)每次审核应至少对其中一个班次的生产或服务活动现场进行审核;
(2)未审核其他班次生产或服务活动现场的,应记录未审核的理由。
5.4.5.2条款:现场审核应安排在认证委托人的生产或服务处于正常运行时进行。
5.4.5.3条款:现场审核开始前,应将审核计划提交给认证委托人并经其确认。如需要临时调整审核计划,应经双方协商一致后实施。
5.5.1条款:ISMS 认证审核应在认证委托人的现场实施,包括初次认证审核以及认证周期内的每年度的监督审核、再认证审核和特殊审核。
5.5.3条款:审核组应会同认证委托人召开首、末次会议,认证委托人的最高管理者、ISMS 相关职能部门负责人应参加首、末次会议,认证机构应保留首末次会议签到记录、图片/音像证明材料。认证委托人的最高管理者不能参加首、末次会议的,应由获得书面授权的其他高级管理层成员参会,审核组应记录最高管理者缺席理由。
5.5.4条款: 审核组应通过面对面访谈等形式,对认证委托人的最高管理者在 ISMS 中发挥领导作用的情况进行重点审核,并保留现场图片/音像、审核记录等证明材料。最高管理者不熟悉组织自身的信息安全方针、信息安全目标,未亲自参与并推动 ISMS 实施的,认证审核应不予通过。
5.5.5条款:发生下列情况的,审核组应向认证机构报告后终止审核:
(1)认证委托人对审核活动不予配合,审核活动无法进行;
(2)认证委托人的最高管理者或经授权的高级管理层成员缺席首、末次会议;
(3)认证委托人实际情况与申请材料有重大不一致;
(4)其他导致审核程序无法完成的情况。
5.6.1条款:初次认证审核应分为两个阶段实施:第一阶段审核和第二阶段审核。两个阶段审核时间间隔最短不应少于 5 日,最长不应超过 6 个月。如需要更长的时间间隔,应重新实施第一阶段审核。
5.7监督审核
5.7.2条款:每次监督审核应尽可能覆盖认证范围内的主要信息安全风险及所涉及的典型过程/活动、产品和服务,并确保在认证证书有效期内的监督审核覆盖认证范围内的主要信息安全风险及所涉及的所有典型过程/活动、产品和服务。
5.8再认证审核
5.8.1条款:认证证书期满前,获证组织申请继续持有认证证书的,认证机构应依据审核方案实施再认证审核,以判断获证组织的ISMS 作为一个整体与 GB/T 22080/ISO/IEC 27001 的持续符合性和运行的有效性。
5.8.2条款:再认证审核应在获证组织现场进行,并应在认证证书到期前完成。
5.9特殊审核
5.9.2条款:提前较短时间通知的审核。为调查投诉、重大及以上级别的网络安全事件,对变更作出回应或对被暂停的客户进行追踪,可能需要在提前较短时间或不通知获证组织的情况下进行审核,此时:
(1)认证机构应说明并使获证组织提前了解将在何种条件下进行此类审核;
(2)由于获证组织缺乏对审核组成员的任命表示反对的机会,认证机构应在指派审核组时给予更多的关注。
5.10不符合项及其验证
5.10.3条款:严重不符合的验证时限应满足以下要求:
(1)初次认证:在第二阶段审核结束之日起 6 个月内完成;
(2)监督审核:在审核结束之日起 3 个月内完成;
(3)再认证:在原认证证书到期前完成。
5.10.4条款:对于认证委托人未能在规定的时限内完成对不符合所采取措施的情况,认证机构不应作出授予认证、保持认证或更新认证的决定。
6.认证证书和认证标志
6.1.2条款:获证组织可以在认证证书有效时使用 ISMS 认证证书和认证标志,并接受认证机构的监督管理。认证证书处于暂停期间、被撤销或注销后,不得继续使用认证证书和认证标志。
6.1.3条款:获证组织应当在广告等有关宣传中正确使用 ISMS 认证标志,不得在产品上仅标注 ISMS 认证标志,只有在注明获证组织通过 ISMS 认证及认证机构名称的情况下,方可在产品包装上标注 ISMS 认证标志。
6.2.1条款:认证机构应及时向认证决定符合要求的组织出具认证证书,认证证书的有效期最长为3年。
6.2.2条款:认证证书有效期的起算日期为认证证书签发日期,认证证书的签发日期不应早于作出认证决定的日期。
6.2.3条款:对于未能在原认证证书到期前完成再认证决定的,获证组织的 ISMS 认证证书到期后自动失效,直至获得新签发的再认证证书,新签发的再认证证书的终止日期不超过上一认证周期终止日期再加 3 年。
7.认证证书的暂停、撤销和注销
7.2条款:认证证书的暂停
7.2.1条款:获证组织有以下情形之一的,认证机构应在调查核实后 5 日内暂停其认证证书,并保留相应证据:
(1)ISMS 持续或严重不满足认证要求的,包括 ISMS 文件与实际业务运作严重脱离;
(2)不满足 ISMS 适用的法律法规要求,且未采取有效纠正措施的;
(3)受到与网络安全相关的行政处罚,且尚未完成整改的;
(4)发生重大及以上级别网络安全事件,反映获证组织ISMS运行存在重大缺陷的;
(5)拒绝配合市场监管部门的认证执法监督检查,或者提供虚假材料或信息的;
(6)持有的与 ISMS 认证范围有关的行政许可文件、资质证书等过期失效的;
(7)不能按照规定的时间间隔接受监督审核的;
(8)未按相关规定正确引用和宣传获得的认证证书和有关信息,包括认证证书和认证标志的使用;
(9)不承担、履行认证合同约定的责任和义务的;
(10)被有关行政监管部门责令停产停业整顿的;
(11)发生与网络安全相关重大舆情的;
(12)主动请求暂停的;
(13)监督审核时发现的严重不符合的纠正措施未能在 3 个月内完成验证的;
(14)其他应暂停认证证书的。
7.2.2条款:认证机构可根据暂停的原因和性质确定暂停期限,暂停期限最长不得超过 6 个月。
7.2.3条款:暂停期间,ISMS 认证证书暂时无效。如获证组织采取有效的纠正措施,造成暂停的原因已消除的,认证机构应恢复其认证证书,并保留相应证据。
7.3条款:认证证书的撤销
获证组织有以下情形之一的,认证机构应在获得相关信息并调查核实后 5 日内撤销其认证证书,并保留相应证据:
(1)被注销或撤销法律地位证明文件的;
(2)被“国家企业信用信息公示系统”和“信用中国”列入严重违法失信名单的;
(3)认证证书的暂停期限已满,但导致暂停的问题未得到解决或有效纠正的;
(4)经行政监管部门确认因获证组织违规而造成重大及以上级别网络安全事件的;
(5)ISMS 没有运行或者已不具备运行条件的;
(6)其他应撤销认证证书的。
7.4条款:认证证书的注销
获证组织主动申请不再保持认证证书时,认证机构应确认不存在暂停或撤销情形后注销其认证证书,并保留相应证据。
10.认证记录
10.5条款:为了证实认证活动的实施,获证组织应留存认证证书有效期内相应的认证记录,至少包括:(1)认证合同;(2)审核计划;(3)首、末次会议签到表;(4)不符合报告及原因分析和纠正措施;(5)审核报告;(6)暂停、撤销通知(适用时)。
二、ZJQC服务支持
ZJQC将通过多种方式持续提供支持,协助认证委托人、获证组织深入学习与理解规则要求,推动组织信息安全管理体系运行有效性与安全绩效的持续提升。随函附上《信息安全管理体系认证规则》及其释义,敬请详细查阅。如遇疑问或有相关需要,欢迎联系北京中经科环质量认证有限公司及各分支机构。
规则的实施旨在提升认证价值,助力组织实现信息安全的持续改进和稳健发展。
感谢贵组织的信任与支持,让我们携手确保认证活动合规、高效过渡!
联系电话:010-68315616 或 010-68357306
点击下载:信息安全管理体系认证规则