2024VI認(rèn)證證書和標(biāo)志的管理程序

VI認(rèn)證證書和標(biāo)志的管理程序目的（以下簡稱中心）信譽(yù)，特制定本程序。適用范圍適用于體系與服務(wù)認(rèn)證部體系和服務(wù)認(rèn)證證書的頒發(fā)和管理。職責(zé)中心領(lǐng)導(dǎo)負(fù)責(zé)批準(zhǔn)各類證書。負(fù)責(zé)批準(zhǔn)對濫用認(rèn)證證書的事件的處理意見。管理者代表負(fù)責(zé)本文件的批準(zhǔn)。綜合與質(zhì)量部各類認(rèn)證證書模板的印刷工作。體系與服務(wù)認(rèn)證部負(fù)責(zé)各類認(rèn)證證書的格式制定；負(fù)責(zé)各類認(rèn)證證書內(nèi)容的制定和內(nèi)容修改的審定。負(fù)責(zé)認(rèn)證證書的印制和發(fā)放；負(fù)責(zé)公布與認(rèn)證證書和狀態(tài)有關(guān)的信息；負(fù)責(zé)對注銷、撤銷的認(rèn)證證書的收繳與銷毀工作。第第10頁共22頁認(rèn)證證書和標(biāo)志的管理證書證書類別（（（（（（（圖（（共九種。中心獲準(zhǔn)頒發(fā)的服務(wù)認(rèn)證證書包括信息安全服務(wù)資質(zhì)認(rèn)證證書（圖10）、數(shù)據(jù)中心服務(wù)能力成熟度認(rèn)證證書（圖11），共兩種。CNASIAF（17）；信息技術(shù)、業(yè)務(wù)連續(xù)性管理體系，信息安全服務(wù)資質(zhì)認(rèn)CNAS（2310），其他不帶認(rèn)可標(biāo)志。認(rèn)證證書如下圖所示：圖1：信息安全管理體系認(rèn)證證書 圖2：信息技術(shù)服務(wù)管理體系認(rèn)證證書圖3：業(yè)務(wù)連續(xù)性管理體系認(rèn)證證書 圖4：隱私信息管理體系認(rèn)證證書圖5：公有云個(gè)人可識(shí)別信息管理體系認(rèn)證證書 圖6：云服務(wù)信息安全管理體系認(rèn)證證書圖7：質(zhì)量管理體系認(rèn)證證書 圖8：環(huán)境管理體系認(rèn)證證書圖9：職業(yè)健康安全管理體系認(rèn)證 圖10：信息安全服務(wù)資質(zhì)認(rèn)證證書圖11：數(shù)據(jù)中心服務(wù)能力成熟度認(rèn)證證書范圍體系認(rèn)證證書范圍（服務(wù)認(rèn)證證書范圍應(yīng)急處理、軟件開發(fā)、災(zāi)難備份與恢復(fù)、網(wǎng)絡(luò)安全審計(jì)的組織（例如商業(yè)企業(yè)、非贏利組織）。內(nèi)容體系認(rèn)證證書內(nèi)容體系認(rèn)證證書一般包括以下內(nèi)容證書名稱；證書編號(hào)；獲證組織名稱、統(tǒng)一社會(huì)信用代碼、注冊地址、受審核地址（組織還應(yīng)在證書上注明每個(gè)已獲證的場所名稱、地址）和郵政編碼；體系名稱；認(rèn)證依據(jù)：具體見證書模板；識(shí)別信息管理體系、云服務(wù)信息安全管理體系認(rèn)證適用)；通過認(rèn)證的業(yè)務(wù)范圍；隱私信息處理活動(dòng)（系）；首次發(fā)證日期、發(fā)證日期和證書有效期；中心的名稱、地址、郵編及其徽標(biāo)；中心的印章和法定代表人簽字；中心的網(wǎng)址及證書的查詢方式；認(rèn)可標(biāo)識(shí)及認(rèn)可注冊號(hào)（適用于在認(rèn)可領(lǐng)域覆蓋的信息安全管理體系、IAF（管理體系認(rèn)證證書）。如果認(rèn)證所覆蓋業(yè)務(wù)（或服務(wù)）及其所涉及的過程和覆蓋的場所較多或多個(gè)地址對應(yīng)的業(yè)務(wù)范圍不同時(shí)，需在證書附加上加以注明。信息安全服務(wù)資質(zhì)認(rèn)證證書內(nèi)容信息安全服務(wù)資質(zhì)認(rèn)證證書一般包括以下內(nèi)容：1）認(rèn)證證書名稱；證書編號(hào)；獲證組織的名稱、統(tǒng)一社會(huì)信用代碼、注冊地址、辦公地址；服務(wù)類別；認(rèn)證依據(jù)：具體見證書模板；發(fā)證日期和證書有效期；中心的名稱、地址、郵編及其徽標(biāo)；中心的印章和法定代表人簽字；中心的網(wǎng)址及證書的查詢方式；認(rèn)可標(biāo)識(shí)及認(rèn)可注冊號(hào)。數(shù)據(jù)中心能力成熟度認(rèn)證證書內(nèi)容數(shù)據(jù)中心能力成熟度認(rèn)證證書一般包括以下內(nèi)容證書名稱；證書編號(hào)；獲證組織名稱、統(tǒng)一社會(huì)信用代碼、注冊地址、評(píng)價(jià)地址和郵政編碼；服務(wù)名稱；認(rèn)證依據(jù)、級(jí)別、分?jǐn)?shù)：具體見證書模板；通過認(rèn)證的業(yè)務(wù)范圍；發(fā)證日期和證書有效期；中心的名稱、地址、郵編及其徽標(biāo)；中心的印章和法定代表人簽字；中心的網(wǎng)址及證書的查詢方式。證書形式體系與服務(wù)認(rèn)證部體系認(rèn)證證書采用中、英文兩種形式（中英文證書各一張），當(dāng)對英文內(nèi)容發(fā)生爭議時(shí)，以中文為準(zhǔn)。信息安全服務(wù)資質(zhì)認(rèn)證證書以中文形式為主（中文證書一張），英文證書按需提供。證書編號(hào)規(guī)定管理體系認(rèn)證證書編號(hào)規(guī)定（除信息技術(shù)服務(wù)管理體系認(rèn)證證書號(hào)和后綴構(gòu)成，格式如下：中） 證） ） ） ） 后綴表示初次認(rèn)證或監(jiān)督審核換證號(hào)：初次認(rèn)證為R0,第一次再認(rèn)證換證為R1，第二次再認(rèn)證換證為R2，……中心相應(yīng)行業(yè)發(fā)出證書的累計(jì)順序號(hào)：001，002……認(rèn)證行業(yè)標(biāo)準(zhǔn)代號(hào)：制造業(yè)為C；電力、燃?xì)饧八纳a(chǎn)和供應(yīng)業(yè)為D；交通運(yùn)輸、倉儲(chǔ)和郵政業(yè)為F；信息傳輸、計(jì)算機(jī)服務(wù)和軟件業(yè)為G；金融業(yè)為J；商務(wù)服務(wù)業(yè)為L；公共管理和社會(huì)組織為S（具體參照國家統(tǒng)計(jì)局行業(yè)分類標(biāo)準(zhǔn)）。管理體系為證書發(fā)出年份：2021，2022，……CCRC為英文縮寫標(biāo)志。別信息管理體系、環(huán)境管理體系、和職業(yè)健康安全管理體系。信息技術(shù)服務(wù)管理體系的證書編號(hào)由認(rèn)證機(jī)構(gòu)批準(zhǔn)號(hào)、發(fā)證年號(hào)、信息技術(shù)服務(wù)管理體系的英文縮寫、順序號(hào)、后綴、服務(wù)類別構(gòu)成，格式如下：） ） 號(hào)） ） ）A-代）后綴表示初次認(rèn)證或再認(rèn)證審核換證號(hào)：初次認(rèn)證為R0，第一次再認(rèn)證換證為R1，第二次再認(rèn)證換證為R2，……中心相應(yīng)行業(yè)發(fā)出證書的累計(jì)順序號(hào)：001，02……證書所屬管理體系代號(hào)：ITSM為信息技術(shù)服務(wù)管理體系證書發(fā)出年份：2021，2022，……認(rèn)證機(jī)構(gòu)獲得任監(jiān)委批準(zhǔn)的機(jī)構(gòu)編號(hào)的后三位數(shù)字（如只有兩位，末位以字母W補(bǔ)位）服務(wù)資質(zhì)認(rèn)證證書編號(hào)規(guī)定服務(wù)資質(zhì)認(rèn)證證書編號(hào)由中心英文縮寫、頒證年份號(hào)、服務(wù)資質(zhì)代號(hào)、服務(wù)類別縮寫、中心在相應(yīng)行業(yè)發(fā)出證書的數(shù)序累計(jì)號(hào)和后綴構(gòu)成，格式如下：中）發(fā)證） ） ） ）中心相應(yīng)行業(yè)發(fā)出證書的數(shù)序累計(jì)號(hào)：001，002……服務(wù)類別縮寫。證書所屬服務(wù)資質(zhì)代號(hào)：ISV為信息安全服務(wù)資質(zhì)認(rèn)證。證書發(fā)出年份：2021，2022……CCRC為英文縮寫標(biāo)志。數(shù)據(jù)中心能力成熟度認(rèn)證證書編號(hào)規(guī)定熟度證書代號(hào)SCMA、行業(yè)代號(hào)、中心在相應(yīng)行業(yè)發(fā)出證書的累計(jì)順序號(hào)和后綴（除信息技術(shù)服務(wù)管理體系認(rèn)證證書編號(hào)格式。證書有效期管理體系和信息安全服務(wù)資質(zhì)證書認(rèn)證證書有效期為三年。在三年的有效期內(nèi)，證書的有效性依靠中心的監(jiān)督審核獲得保持。數(shù)據(jù)中心能力成熟度認(rèn)證證書有效期為一年。證書復(fù)印件不具有法律效力。證書印發(fā)認(rèn)證證書印發(fā)的程序如下：體系與服務(wù)認(rèn)證部向受審核方進(jìn)行證書內(nèi)容確認(rèn)；相應(yīng)的認(rèn)證證書，將證書發(fā)出給受審核方；體系與服務(wù)認(rèn)證部負(fù)責(zé)將證書信息報(bào)至認(rèn)監(jiān)委。證書的補(bǔ)發(fā)認(rèn)證證書補(bǔ)發(fā)的程序如下：補(bǔ)發(fā)申請；體系與服務(wù)認(rèn)證部在收到獲證組織的證書補(bǔ)發(fā)申請書（原件），掛失聲（原件/收費(fèi)金額；做好相關(guān)記錄和歸檔。證書錯(cuò)誤的修改如證書內(nèi)容出現(xiàn)錯(cuò)誤，參照以下程序進(jìn)行：體系與服務(wù)認(rèn)證部負(fù)責(zé)受理證書內(nèi)容的修改申請，并收回錯(cuò)證原件。處確認(rèn)已交納相關(guān)費(fèi)用后，報(bào)中心領(lǐng)導(dǎo)批準(zhǔn)，重新制作證書；導(dǎo)批準(zhǔn)，重新制作并寄出證書。 的證書發(fā)放給客戶，將收到的錯(cuò)證原件進(jìn)行銷毀并記錄。獲證組織證書使用的權(quán)利和義務(wù)體系認(rèn)證獲證組織使用證書的權(quán)利和義務(wù)如下：CCRC向獲證組織頒發(fā)認(rèn)證證書,以證實(shí)組織的管理體系在證書標(biāo)明的范圍內(nèi)滿足相關(guān)標(biāo)準(zhǔn)要求；在認(rèn)證證書的有效期內(nèi)有權(quán)正確使用認(rèn)證證書；認(rèn)證證書可以展示在文件、網(wǎng)站、通過認(rèn)證的工作場所、銷售場所、廣告和宣傳材料中或廣告宣傳等商業(yè)活動(dòng)，但不得利用管理體系認(rèn)證證書宣傳認(rèn)證結(jié)果時(shí)不應(yīng)損害的聲譽(yù)；品的外包裝（不是直接在產(chǎn)品或產(chǎn)品的最小包裝上）上。如：“本組織（或企業(yè)）通過中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的****管理體系認(rèn)證，證書號(hào)為xxxxx”注：****：應(yīng)為獲證組織獲得的相應(yīng)管理體系認(rèn)證名稱，如信息安ISO/IEC27001ISO/IECISO9001，ISO22301xxxxx：為獲證組織獲得的管理體系證書編號(hào)。VI用認(rèn)證證書。全審查技術(shù)與認(rèn)證中心提出投訴。的，獲證組織可申請補(bǔ)發(fā)。保證證書覆蓋范圍內(nèi)的管理體系運(yùn)行穩(wěn)定；建立認(rèn)證證書使用和管理制度，對認(rèn)證證書的使用情況如實(shí)記錄存檔；格者，不得繼續(xù)使用已獲得的認(rèn)證證書；獲證組織應(yīng)按時(shí)交納認(rèn)證費(fèi)用，以獲得或保持證書；國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心撤消或注銷的組織，獲證組織應(yīng)按中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的要求將證書交還到中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，并同時(shí)停止在文件、網(wǎng)站、通過認(rèn)證的工作場所、廣告和宣傳資料中展示認(rèn)證證書和停止將有關(guān)認(rèn)證信息用于廣告宣傳等商業(yè)活動(dòng)；在認(rèn)證范圍被縮小時(shí)，修改所有涉及原認(rèn)證范圍的廣告材料；CNASCNAS標(biāo)志認(rèn)證證書的相關(guān)規(guī)定。服務(wù)認(rèn)證獲證組織使用證書的權(quán)利和義務(wù)如下：CCRC滿足相關(guān)標(biāo)準(zhǔn)要求；在認(rèn)證證書的有效期內(nèi)，獲證組織有權(quán)正確使用認(rèn)證證書；獲證組織應(yīng)在廣告、宣傳等活動(dòng)中正確使用認(rèn)證證書和有關(guān)信息。不得CCRC被暫停認(rèn)證的組織,在暫停期間不得有使用認(rèn)證證書的活動(dòng)。標(biāo)志CNASIAF可標(biāo)志。中心徽標(biāo)CCRC中心徽標(biāo)基本色調(diào)為：白色、藍(lán)色，如圖12所示：圖12室檢測、校準(zhǔn)或檢查的報(bào)告，獲證組織不得使用。認(rèn)可標(biāo)志（CNAS認(rèn)可標(biāo)志）CNASCNAS黑色。藍(lán)色：C：100 M：80 Y：0 K：0 （標(biāo)準(zhǔn)色）。黑色：C：0 M：0 Y：0 K：100 （標(biāo)準(zhǔn)色）。CNASCNASCNAS（見圖13,以信息安全服務(wù)資質(zhì)認(rèn)證為例）。CNAS證書。圖13構(gòu)對認(rèn)可標(biāo)志的管理要求。CNAS但不能用于報(bào)價(jià)單?？梢圆捎糜∷?、圖文和印章等使用方式。如在有關(guān)文件、文具和出版物上使用時(shí)，認(rèn)可標(biāo)志必須完整，也不得將其變形使用；CNASCNAS的管理體系進(jìn)行了批準(zhǔn)；CNASCNASCNASCNAS可標(biāo)志或黑白認(rèn)可標(biāo)志；CNASCNASCNASCNASCNASCNAS國際互認(rèn)標(biāo)志IAFIAFIAFCNAS擁有IAFCNAS（國際互認(rèn)聯(lián)合徽標(biāo)的方式使用國際互認(rèn)標(biāo)志，IAF14圖14IAF標(biāo)志的使用應(yīng)符合本文件第4.2.2條款中有關(guān)CNAS認(rèn)可標(biāo)識(shí)的使用要求，同時(shí)還應(yīng)符合以下要求：中心只有在與CNAS秘書處簽署《IAF-MLA/CNAS識(shí)使用協(xié)議》后，方可使用相關(guān)標(biāo)志；中心不得單獨(dú)使用國際互認(rèn)標(biāo)志；IAF標(biāo)識(shí)與CNAS標(biāo)志、中心徽標(biāo)應(yīng)在同一水平面上，并且大小相近；不得允許獲證組織使用IAF國際互認(rèn)標(biāo)志。認(rèn)證證書管理規(guī)定合同規(guī)定體系與服務(wù)認(rèn)證部制定的合同中應(yīng)明確規(guī)定雙方對認(rèn)證證書使用的權(quán)利和注意事項(xiàng)、年度監(jiān)督、交款方式、存在異議時(shí)應(yīng)采取的措施等。認(rèn)可規(guī)定認(rèn)證證書在使用CNASIAFCNAS-R0可標(biāo)識(shí)和認(rèn)可狀態(tài)聲明管理規(guī)則》的要求。第第21頁共22頁認(rèn)證證書的動(dòng)態(tài)管理對未授權(quán)使用認(rèn)證證書，中心將根據(jù)國家有關(guān)法律和規(guī)定采取相應(yīng)的行政、法律措施。保持對獲證組織認(rèn)證證書使用的有關(guān)投訴的全部記錄。認(rèn)證證書的誤用/濫用認(rèn)證證書被誤用/濫用的主要形式有：錯(cuò)誤使用認(rèn)證證書或?qū)⒄J(rèn)證證書誤用于認(rèn)證證書所說明的覆蓋范圍外；或借用、冒用。與所簽訂的合同要求相違背的；銷的條件程序》中相應(yīng)規(guī)則的；對誤用/濫用證書和標(biāo)志的管理。認(rèn)證證書的誤用/濫用事件，經(jīng)調(diào)查屬實(shí)，由調(diào)查人填寫《認(rèn)證證書和認(rèn)證標(biāo)志誤用/濫用調(diào)查處理登記表》后報(bào)中心領(lǐng)導(dǎo)。由中心領(lǐng)導(dǎo)簽批處理意見后采取相應(yīng)措施。中心對獲證組織認(rèn)證證書或認(rèn)證