新版CCRC监督审核方式及相关流程

CCRC认证自获证后12-18个月内至少进行1次监督审核。监督审核对象为获证组织。当获证组织持有多张证书时,应以最早的获证日期发起监督审核,其他证书合并审核。那今天擎标就给大家介绍一下CCRC监督审核方式及相关流程,首先,获证后监督活动可采取以下方式进行:
1) 文件审核;
2) 现场审核;
3) 其他监督获证组织的方法。
若获证组织在证书有效期内出现以下情况之一,中心应视情况增加监督频次:
1) 获证组织发生重大变更,例如组织架构、关键办公场所、服务管理过程等发生变更;
2) 针对获证组织的投诉;
3) 获证组织出现重大服务质量事故或风险隐患等。

必要情况下,中心可采取事先不通知的方式对获证组织进行飞行检查。

监督审核过程主要分4个环节,具体如下:

一 信息收集
获证组织应于监督审核前3个月,提交安全服务管理与安全服务能力的相关信息,以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。提供的信息包括以下几个方面:
1) 信息确认文件,包括但不限于:
a) 基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b) 组织信息,包括范围、组织架构、人员数量等信息的变化情况;
c) 服务管理体系相关信息,关键文件化信息的变化情况。
2) 自评估信息,包括但不限于:
a) 安全服务管理运行情况,包括运行说明和运行证据;
b) 安全服务管理监视、测量、分析和评价的结果和证据;
c) 安全服务管理运行的持续改进情况,包括改进说明和证据;
d) 满足法律法规的情况说明;
e) 对安全服务管理符合性的自我评价。
二 方案维护
中心结合获证组织的实际情况,对审核方案进行维护调整,包括:监督审核的频次和覆盖范围、监督审核方式、审核人日等,并确定相关活动的安排。应重点关注获证组织的多方向的服务实施现场,并结合实际情况,确保在一个认证周期内应覆盖全部的服务方向。
三  监督审核实施
认证周期内的监督审核应覆盖认证依据所有条款,监督审核采取抽样的方式进行,抽样准则为:
1) 一个认证周期内的监督审核必须覆盖标准所有条款和所有部门;
2) 标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3) 获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4) 审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括以下方面:
1) 对上次审核中确定的不符合及观察项采取的措施;
2) 投诉的处理;
3) 安全服务管理与安全服务能力在实现获证客户目标的有效性;
4) 任何变更。
四 获证后监督结果的评价

监督审核完成后,中心对审核结果及相关资料进行综合评价。评价通过的,认证证书持续有效,评价不通过的,按照本新版信息安全服务资质认证实施规则第7章的暂停、注销及撤销的相关规定处理。

擎标提醒新规则覆盖服务的认证证书有效期为 3 年。证书有效性通过获证后监督维持。获证组织应在证书有效期届满前至少 3 个月提交换证申请。认证证书有效期内且最后一次监督审核结果合格的,换发新证书;获证组织在证书有效期届满时未提出换证申请的,其证书到期后失效。有需要了解CCRC认证新版与旧版之前区别的,请联系在线客服。