云服務信息安全管理體系認證實施方案

 

1 適用范圍

本認證方案適用于方圓標志認證集團有限公司（以下簡稱：CQM）實施云服務信息安全管理體系認證，滿足第三方認證制度要求，作為提供認證服務的規范。必要時，在認證合同中補充相關的技術要求。

本認證方案在認證雙方簽訂合同時予以確認和采用。

 

2 認證模式

CQM首先對受審核方的管理體系進行初次審核，經過評定，確認是否批準認證；通過認證之后，在認證證書的有效期內對獲證客戶的管理體系進行監督，確認是否持續滿足認證要求。

 

3 認證過程流程圖

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4 認證申請的基本條件

1） 認證客戶具有明確的法律地位,客戶具有企業營業執照、事業單位法人證書、社會團體登記證書、非企業法人登記證書、黨政機關設立文件等，可獨立申請認證。其他類型的客戶，應由具備資格的單位代為申請；應填寫《方圓標志管理體系認證申請書》和附件《云服務信息安全管理體系(ISO/IEC 27017)認證申請資料》，多名稱客戶組織申請管理體系認證時，補充填寫《組織結構與認證責任、產品責任必要的表述內容》；

2） 國家、地方或行業有要求時，認證客戶具有規定的行政認可文件,其申請認證范圍應在法律地位文件和行政認可文件核準的范圍內；申請的認證范圍不能包括涉及國家安全和機密的內容和場所；

3） 認證客戶按相應的管理體系標準建立了文件化的管理體系（含適用性聲明），初次認證現場審核前已至少持續穩定運行了3個月，至少已實施一次完整的內審和管理評審或已編制實施計劃，并承諾在證書有效期內，持續有效運行管理體系；

4） 認證客戶承諾遵守國家的法律、法規及其他要求,承諾始終遵守認證的有關規定，承擔與認證有關的法律責任，并有義務協助認證監管部門的監督檢查，對有關事項的詢問和調查如實提供相關材料和信息；

5） 認證客戶在一年內，未發生信息安全泄露事故（包括已經或可能嚴重損害國家安全、社會秩序、公共利益或獲證客戶及其相關方的合法權益）或被執法監管部門責令停業整頓或在全國企業信用信息公示系統中被列入“嚴重違法企業名單”或違反國家相關法規，虛報、瞞報獲證所需信息的情況；

6） 認證客戶向CQM說明對認證機構資質要求或認證人員身份背景的要求，以及適用的與保守國家秘密或維護國家安全有關的法律法規要求，并說明是否存在因包含保密性或敏感性信息而不能提供給審核組核查的任何管理體系文件或記錄的情況。

7） 組織按照《方圓標志管理體系認證申請書》要求提交申請資料時，受理人員應與申請人進行確認，提交資料是否包含申請組織保密性或敏感性信息。在不影響申請評審和文件審核的前提下認證客戶可以對提交資料進行相應的處理，刪除其中的保密性或敏感性信息；

8） 認證客戶承諾獲得CQM認證后，按規定使用認證證書和認證標志和有關信息，不得擅自利用管理體系認證證書的文字、符號誤導公眾認為其產品或服務通過認證。按合同支付認證費用，并按規定接受監督；

9） 認證客戶承諾獲得方圓認證后按照CQM要求向CQM通報管理體系變更的  

信息和其他可能影響管理體系持續滿足認證標準要求的能力的事宜的信息，一般包括：客戶及相關方有重大投訴；所提供的信息安全服務被執法監管部門列入“黑名單”；發生信息安全泄露事故、重大事故；相關情況發生變更（包括：法律地位、生產經營狀況、組織機構或所有權變更、資質證書變更；法定代表人、最高管理者、管理者代表發生變更；服務的工作場所變更；管理體系覆蓋的活動范圍變更；管理體系和重要過程的重大變更等）；出現影響管理體系運行的其他重要情況；

10）認證審核期間，認證客戶能夠提供與擬認證范圍相關的產品/服務/活動現場。

                                                                                                                                                                                                                                                                                                                 

5 審核實施

5.1 審核準則

認證雙方確認的審核依據如下：

a) ISO/IEC 27017：2015 信息技術 安全技術 基于ISO/IEC 27002云服務信息安全控制實施規程；

b) 審核準則還包括受審核方所適用的信息安全方針、目標、適用性聲明、程序、標準、法律法規、操作規范、合同要求或行業規范。

5.2 審核過程

5.2.1 初次認證審核

初次認證審核分兩個階段實施：第一階段和第二階段。

第一階段審核的目的是了解受審核方的基本信息、審核管理體系文件，識別任何引起關注的、在第二階段審核中可能被判定為不符合的問題，為第二階段審核提供關注點。

第二階段審核的目的是評價受審核方管理體系實施的符合性和有效性。二階段審核情況需進一步作出詳細記錄。

審核組對在第一階段和第二階段審核中收集的所有信息和證據進行匯總分析，評價審核發現并形成審核結論。

5.2.1.1 第一階段審核

審核組結合受審核方的管理體系運行目標和體系覆蓋活動的專業特點，根據受審核方提供的管理體系文件、體系運作過程、運作場所和現場的具體情況、內部審核與管理評審策劃和實施情況，確認受審核方對標準的理解和實施的程度、對目標的實現具有重要影響的關鍵點、相關的法律法規要求的遵守情況以及管理體系范圍，審核第二階段審核所需資源的配置情況，并與申請方商定第二階段審核的細節，以確定第二階段審核安排。云服務信息安全管理體系確認：信息資產、風險分析及不可接受風險處置情況、云服務信息安全服務的項目情況等。

評價組織是否策劃和實施了內部審核與管理評審，以及管理體系實施的程度能否證明其已為第二階段審核做好準備。

如果發生任何將影響管理體系的重要變更，CQM可能將重復整個或部分第一階段審核。第一階段審核的結果可能導致推遲或取消第二階段審核。

5.2.1.2 第二階段審核

審核組現場評價受審核方管理體系的實施情況，包括符合性和有效性。第二階段審核至少包括以下方面：

a) 與適用的管理體系標準和其他規范性文件的所有要求的符合情況；

b) 依據關鍵績效目標和指標，對績效進行的監視、測量、報告和評審；

c) 管理體系和績效中與遵守法律有關的方面；

d) 受審核方過程的運作控制；

e) 管理職責的落實，包括針對方針的管理職責；

f) 為實現總目標而建立的職能層次目標的策劃和實現情況；

g) 規范性要求、方針、績效目標和指標、適用的法律要求、職責、人員能力、運作、程序、績效數據和內部審核發現及結論之間的聯系

5.2.1.2.2云服務信息安全管理體系還應包括：

1）基于風險評估和風險處置過程，確定控制目標和控制；

2）所制確定的控制、適用性聲明、風險評估和風險處置過程的、信息安全方針、信息安全目標之間的一致性；

3）控制的實施（控制措施），考慮了外部環境、內部環境與相關的風險，以及組織對信息安全過程及控制措施的監視、測量與分析，以確定控制是否得以實施，有效并達到其所規定的目標。

5.2.1.3云服務信息安全管理體系與其他管理體系結合審核

5.2.1.3.1云服務信息安全管理體系文件與其他管理體系文件的整合

客戶可將云服務信息安全管理文件與其他管理體系文件（如：信息安全管理體系、質量管理體系等）整合。如果體系文件是結合的，應能清晰地識別出客戶的云服務信息安全管理體系。

5.2.1.3.2 管理體系結合審核

云服務信息安全管理與其他管理體系結合審核時，按以下管理要求執行：

a) 對各體系分別界定審核范圍。對審核時間的確定、審核方案策劃進行有效管理。

b) 審核活動應滿足云服務信息安全管理認證所有要求,并且審核質量不應由于結合審核而受到負面影響。在審核報告中應清晰體現所有與云服務信息安全管理有關的重要要素的描述。

5.2.2 監督活動

5.2.2.1 監督活動的方式

CQM采用現場監督審核和日常監督（如關注國家有關部門發布的質量信息公報、關注獲證客戶相關方的信息、獲證客戶有關信息的日常跟蹤、審查獲證客戶及其運作的說明、要求獲證客戶提供文件和記錄等）相結合的方式。

5.2.2.2 獲證后監督審核的內容

a) 體系保持和任何變更情況（如資源、過程、組織結構、已識別的關鍵控制點等）；

b) 顧客投訴的情況；

c) 涉及變更的范圍；

d) 信息安全的《適用性聲明》及版本的變化情況；

e) 管理體系實施的有效性；

f) 為持續改進而策劃的活動的進展；

g) 針對上次審核中確定的不符合所采取的措施和效果；

h) 證書和標志的使用和（或）任何其他對認證資格的引用；

i) 適當時，其他選定的范圍。

獲證客戶應保存全部投訴記錄，需要時提供認證機構。

CQM根據以上信息對獲證客戶管理體系進行再評價，確認其是否持續滿足認證要求。對于監督審核合格的獲證組織，作出保持其云服務信息安全管理體系認證資格的決定；否則，應暫停、撤銷其相應的認證資格。

監督審核時，如認證客戶沒有按要求關閉不符合，將可能導致認證證書的暫停。

5.2.2.3 監督審核的頻次

在證書有效期內，獲證客戶須接受監督審核。CQM的云服務信息安全管理體系至少每個日歷年（應進行再認證的年份除外）進行一次監督審核，監督審核的最長時間間隔不超過12個月。初次認證和再認證后的第一次監督審核應從認證決定日期起12個月內進行；監督審核的最長時間間隔不超過 15 個月。

由于獲證組織的（季節）業務特點及其內部審核安排等原因，可以合理選取和安排監督周期及時機，在認證證書有效期內的監督審核必須覆蓋云服務信息安全管理體系認證范圍內的所有業務活動。

獲證客戶因未在規定的時間內實施監督審核而暫停認證證書的，監督審核恢復后，下次審核時間應按原計劃時間計算。

若發生下述情況則需增加監督頻次，或安排提前較短時間通知的審核：

a) 獲證客戶對管理體系進行了重大更改或發生重大問題；

b) 有足夠信息表明獲證客戶發生了組織機構、云服務信息安全服務變更等影響到其認證基礎的更改；

c) 獲證客戶出現信息安全泄露事故或云服務信息安全服務質量事故或用戶提出對相關管理體系運行效果的投訴未得到處理時；

d) 其他需要考慮的情況。

5.2.3 再認證

獲證客戶在證書有效期滿前至少三個月，須提出再認證申請。再認證審核的目的是驗證作為一個整體的組織管理體系全面的持續符合性和有效性，以及認證范圍的持續相關性和適宜性。再認證審核的程序和要求參照5.2.1條實施。

在對獲證客戶的日常監督中，發現獲證客戶的出現嚴重影響管理體系運作的重大變更時，或對獲證客戶的投訴分析和其他信息表明獲證客戶不再滿足認證要求時，將安排特殊審核或與獲證客戶商定提前安排再認證審核。

再認證審核還需關注云服務信息安全管理體系在認證周期內的績效，包括調閱以前的監督審核報告。

對于多場所或結合審核的認證，再認證審核應確?，F場審核具有足夠的覆蓋范圍，以提供對云服務安全管理體系和信息安全管理體系認證的信任。

再認證時通?？刹贿M行一階段審核，但當獲證客戶的管理體系和獲證客戶的內外部運作環境有重大變化時，再認證審核活動可能需要有第一階段審核。

再認證審核時，認證客戶應在當前認證證書到期前接受CQM審核，并對于審核組開具的不符合在規定的時間內按要求關閉。否則，因認證客戶的原因導致CQM不能在原認證證書到期后6個月內作出認證決定的，再認證審核失效。

5.2.4 特殊審核

5.2.4.1 擴大認證范圍審核

針對已獲證的客戶，CQM對擴大認證范圍的申請進行評審，確定能否予以擴大的決定所需的審核活動，這一工作可與監督審核同時進行。

5.2.4.2 提前較短時間通知的審核

    為調查投訴、對變更做出回應或對被暫停的認證客戶進行追蹤，需要在提前較短時間通知獲證客戶后對其進行的審核。

1）向獲證客戶說明并使其提前了解將在何種條件下進行此類審核；

2）指派具有豐富經驗的審核員組成審核組。

5.3 現場審核活動實施

審核組在現場審核前與受審核方溝通，確認審核安排，說明首末次會議議程。

審核組按照審核計劃中日程安排實施審核，通過查閱受審核方的文件和記錄、與過程和活動的崗位人員面談、座談、觀察服務形成過程和活動等適當方法，抽樣收集并驗證有關的信息，必要時，進行技術測試，形成審核發現，確認審核情況。

在審核過程中，審核組及時與受審核方溝通，通報審核進程，確認審核證據，解決分歧。當審核發現表明不能達到審核目的時，應說明理由，商定后續措施。如果需要改變審核目的和范圍或終止審核時，應經審核派出機構評審和批準后實施。

審核組長在現場審核結束前，與受審核方溝通現場審核的信息，請受審核方對發現的問題和不符合報告進行確認，并商定對不符合的后續措施的安排，確認審核結論。審核組編制審核報告并提交受審核方。

審核報告屬CQM所有，如果在審核后續活動中（含CQM進行認證決定期間）有所更改，CQM將重新向受審核方提供審核報告。請受審核方妥善保管審核報告、不符合報告及其糾正材料等相應材料。

 

6 認證的批準、拒絕、保持、擴大、縮小、暫停、恢復和撤銷的條件和程序

6.1 批準認證范圍的條件和程序

6.1.1 批準認證注冊的條件

a) 認證客戶的申請材料真實、準確、有效；

b) 認證客戶建立和實施的相關管理體系符合認證標準/規范性文件要求，審核組提出推薦認證的結論意見；

c) 認證客戶申請認證范圍在法律地位文件和資質規定的范圍內；

d) 國家或地方或行業有要求時，認證客戶申請認證范圍內的組織單元、服務及其過程和活動已滿足適用的法律法規的要求；

e) 審核證據表明管理評審和內部審核的安排已實施、有效且得到保持，并已進行了一次覆蓋管理體系所有要求的完整內部審核；

f) 審核中發現的不合格在規定期限內已經采取糾正/糾正措施，經CQM驗證有效。

g) 至少近一年來，認證客戶申請認證范圍內未發生信息安全泄露事故或國家檢查不合格；

h) 認證客戶已與方圓簽署認證合同，承諾始終遵守認證的有關規定，并按照認證合同規定繳納認證費用。

6.1.2 批準認證資格的程序

a) CQM向認證客戶提供認證有關信息的公開文件，使其知悉并理解；

b) 認證客戶向CQM正式提交認證申請書和相關附件；

c) CQM根據客戶申請信息進行申請評審，并已確認受理認證申請；

d) 滿足6.1.1批準認證資格的條件，經CQM審定，認為認證客戶在認證范圍內已滿足批準認證資格的條件，同意批準認證；

e) CQM向認證客戶頒發認證證書，要求獲證方按規定使用認證標志。

6.2 拒絕認證注冊的條件和程序

6.2.1 拒絕認證資格的條件

a) 認證客戶信息未通過CQM的申請評審，評審為不予受理認證申請； 

b) CQM審核組現場審核結論為“不推薦認證注冊”；

c) 初次認證第二階段后，認證客戶未在規定的時間內按要求關閉不符合，或未按規定接受CQM再次實施的二階段審核；

d) 再認證審核后，認證客戶未在規定的時間內按要求關閉不符合（包括CQM審定提出的不符合）；；

e) 除以上情況外，CQM的審定結論為不予認證注冊。

6.2.2 拒絕認證注冊的程序

a) 符合6.2.1條件之一，經CQM評審為不予受理認證或認證客戶的管理體系不滿足批準認證資格條件； 

b) CQM向認證客戶發出《不予認證注冊通知》。

6.3 保持認證資格的條件和程序

6.3.1 保持認證資格的條件

a) 獲證客戶的法律地位、行政許可文件持續符合國家的最新要求，并且認證范圍在法律地位文件和行政許可文件規定的范圍內；

b) 獲證客戶持續遵守認證有關的規定，包括變更的規定；

c) 獲證客戶在認證范圍內的組織單元、服務及其過程和活動持續滿足適用的最新法律法規的要求，如發生不滿足時及時采取有效的措施；

d) 獲證客戶于獲證期內，認證范圍內涉及的服務/活動未發生重大事故和國家檢查不合格；

e) 獲證客戶在獲證期間未發生誤用認證證書和認證標志，如有發生能及時有效地采取糾正和糾正措施，并將誤用產生的影響降至最少程度；

f) 獲證客戶對顧客或相關方的重大投訴和關切能及時有效地處理；

g) 獲證客戶能按照CQM要求及時通報管理體系和重要過程變更等信息；

h) 按時接受監督審核,經現場審核獲證客戶的管理體系持續符合認證標準/規范性文件要求，審核組結論為“保持認證”；

i) 獲證客戶履行與CQM簽署認證合同中規定的責任和義務，并按照認證合同規定繳納認證費用。

6.3.2 保持認證資格的程序

a) 滿足6.3.1保持認證資格的條件，監督審核后，經CQM派出的審核組長確認和CQM審查后認為獲證客戶在認證范圍內能持續滿足保持認證資格的條件，同意保持認證資格，由CQM簽發確認證書并向獲證客戶發放；

b) 在認證證書有效期內如有認證要求變更，獲證客戶接受變更的認證要求，并經CQM驗證在認證范圍內管理體系滿足變更的要求，可保持認證資格。

6.4 擴大認證范圍的條件和程序

6.4.1 擴大認證范圍的分類

a) 獲證客戶名稱增加、固定分場所增加、服務點增加；

b) 服務類別增加；

c) 服務形成主要過程增加，如軟件設計開發服務、軟件測試服務。

6.4.2 擴大認證范圍的條件

a) 獲證客戶保持認證資格有效。

b) 獲證客戶申請擴大的認證范圍在法律地位文件范圍內。國家、地方或行業有要求時，獲證客戶擬擴大的認證范圍具有有效的行政許可文件；

c) 國家或地方或行業有要求時，獲證客戶在申請擴大認證范圍內的組織單元、產品、服務及其過程和活動，已滿足適用的法律法規的要求；

d) 獲證客戶的管理體系覆蓋申請擴大的認證范圍，并符合認證標準/規范性文件要求；

e) 獲證客戶按照認證規定繳納補充認證費用。

6.4.3 擴大認證范圍的程序

a) CQM向獲證客戶提供與擴大認證范圍有關信息的公開文件，獲證客戶知悉并理解；

b) 獲證客戶向CQM正式提交擴大認證范圍的申請和相關附件；

c) 需要時，獲證客戶與CQM補充簽署或修訂認證合同，并按照規定補充繳納認證費用；

d) 滿足6.4.1擴大認證范圍的條件，經CQM審核、審定，認為獲證客戶在申請擴大認證范圍內已滿足批準認證資格的條件，同意批準擴大認證范圍，認證證書的注冊號和有效期保持不變；

e) CQM向獲證客戶送交新認證證書，同時收回原證書。

6.5 縮小認證范圍的條件和程序

6.5.1 縮小認證范圍的分類

a) 獲證客戶固定分場所、服務網點縮??；

b) 服務類別減少；

c) 服務形成主要過程減少，如軟件設計開發服務、軟件測試服務；

d) 多個組織認證減少組織數量。

6.5.2 縮小認證范圍的條件

a) 獲證客戶認證范圍內部分產品/服務、區域等不再符合認證標準/規范性文件和其他要求；

b) 獲證客戶不愿再繼續保持認證范圍內的部分服務、區域等認證資格；

c) 獲證客戶縮小認證范圍應不包括為縮小認證風險的情況。

d) 如果獲證客戶在認證范圍的某些部分持續地或嚴重地不滿足認證要求，CQM將縮小其管理體系認證范圍。以排除部門組要求的部分。認證范圍的縮小應與認證標準的要求保持一致。

6.5.3 縮小認證范圍的程序

a) 獲證客戶向CQM正式提交縮小認證范圍的申請，或CQM提出縮小獲證客戶認證范圍的建議，并提供理由和證據。CQM的審定意見和日常監督結果也可作為認證范圍縮小的信息來源和理由，經認證雙方溝通后達成一致意見；

b) 需要時，獲證客戶應與CQM修訂認證合同；

c) 經CQM審定，認為獲證客戶在申請縮小認證范圍不會對仍保持的認證范圍產生影響，同意批準縮小認證范圍，收回原認證證書，換發認證證書或附件，認證證書的注冊號和有效期保持不變。

6.6 變更認證信息的條件和程序

6.6.1變更認證信息的條件和分類

6.6.1.1變更認證信息的條件

在認證證書有效內，獲證客戶因信息發生變更，導致與認證證書信息不一致時，應予以更新。

6.6.1.2變更認證信息的分類：

a) 獲證客戶名稱、住所變更；

b) 認證地址變更；

c) 地名、郵編變更；

d) 企業人數變更，證書編號變更；

e) 證書范圍中的服務、活動的變更（含臨時服務場所）。

6.6.2變更認證信息的程序

6.6.2.1認證信息的變更需提交的資料

6.6.2.1.1獲證客戶名稱、住所變更應提交的資料

a) 獲證客戶的書面變更申請；

b) 獲證客戶是企業的，提供工商行政主管部門的變更核準證明及新營業執照復印件；其他性質的獲證客戶提供允許其設立的政府行政主管部門的相關文件；

c) 對于因改制、企業重組引起的名稱變更，獲證客戶不能獲得名稱變更核準證明時，應提交組織以原名稱和現名稱名義的更名申請、政府有關部門的批文和原名稱注銷證明；并需因管理體系發生重大變更接受CQM的一次監督審核和審定；

d) 有行政許可、資質等要求的獲證客戶，還應提供按新名稱變更后的有關文件。

6.6.2.1.2認證地址變更需要提交的資料

a) 獲證客戶的書面變更申請；

b) 有行政許可、資質等要求的獲證客戶，還應提供按新地址變更后的法規要求的有關文件。

6.6.2.1.3 地名、郵編變更需要提交的資料

a) 獲證客戶的書面變更申請；

b) 當地政府的相關證明；

c) 對有行政許可、資質等要求的獲證客戶，還應提供按新地址變更后的有關文件。

6.6.2.1.4企業增加人數，證書編號變更需要提交的資料

獲證客戶提出企業增加人數時，需提交變更企業人數和證書編號的書面申請。

6.6.2.1.5 證書范圍中的服務、活動的變更需要提交的資料

a) 獲證客戶的書面變更申請；

a) 對有行政許可、資質等要求的認證范圍，還應提供相應文件復印件。

6.6.2.2 認證信息變更的辦理流程

a) 獲證客戶根據6.6.1要求向CQM正式提交滿足6.6.2.1要求的申請和相關文件資料；

b) 需要時，獲證客戶應接受CQM的審核；

c) 經CQM審定，認為獲證客戶滿足認證信息變更的條件，同意批準認證信息變更；

d) CQM收回原認證證書，換發認證證書或附件，認證證書的有效期保持不變。

6.7 暫停認證資格的條件和程序

6.7.1 暫停認證資格的條件

符合下列條件之一的獲證客戶，CQM將暫停其認證證書：

--獲證客戶管理及服務體系持續或嚴重不滿足認證要求，包括對管理體系運行的有效性要求。

a)獲證客戶的管理體系發生重大變更，不能持續符合認證標準/規范性文件要求；

b)獲證客戶監督審核期間發生嚴重影響體系運行的情況；

c)獲證客戶在認證范圍內的組織單元、服務及其過程和活動不能滿足適用的最新法律法規和標準的要求，并未采取措施或措施無效；

d)獲證客戶未按照認證要求的變更做出相應調整，或調整不滿足變更要求；

--獲證客戶不承擔、履行認證合同約定的責任和義務。

a)獲證客戶未能在規定的期限內接受監督或再認證審核；

b)獲證客戶未履行與CQM簽署認證合同中規定的責任和義務，并對保持認證資格產生重大影響；

c)獲證客戶未按照認證合同規定繳納認證費用；

d)獲證客戶在獲證期間發生誤用認證證書和認證標志，并未能及時有效地采取糾正和糾正措施，以將產生的影響降至最少程度。

--獲證客戶在證書有效期間受到相關執法監管部門處罰。

a) 獲證客戶未按要求對信息進行通報。

--獲證客戶被地方認證監管部門發現體系運行存在問題。

a)獲證客戶于獲證期間在認證范圍內發生國家抽檢不合格，并未查明原因和采取補救措施。

--獲證客戶持有的行政許可證明、資質證書、強制性認證證書等過期失效，重新提交的申請已被受理但尚未換證。

a)獲證客戶的法律地位、資質不再符合國家的最新要求；

b)獲證客戶的認證范圍已不在現行有效的法律地位文件和資質規定的范圍內，但仍有可能在短期內符合規定要求。

--獲證客戶不接受或不配合認證認可監督管理部門的監督管理；

--獲證客戶主動請求暫停。

--獲證客戶發生了與信息安全泄露事故的重大事故，反映出獲證客戶的體系建立及運行存在重大缺陷。

a)獲證客戶于獲證期間在認證范圍內發生重大事故被媒體曝光、或未查明原因和采取補救措施；

b)獲證客戶服務出現嚴重波動，未采取措施。

--其他原因需要暫停證書。

6.7.2 暫停認證資格的程序

a) CQM提出對獲證客戶暫停全部或部分認證范圍內認證資格的建議，并提供理由和證據,或由獲證客戶向CQM提出暫停認證資格的申請；

b) 必要時，CQM與獲證客戶溝通，核實證據；

c) 經CQM審定，認為獲證客戶在認證范圍內全部或部分不再持續滿足認證要求，但仍然有可能在短期內采取糾正措施的，同意批準暫停全部或部分認證范圍的認證資格，并確定暫停期限，向獲證客戶頒發《認證處置決定通知書》并公告；

d) 獲證客戶按照《管理體系認證證書和認證標志、認可標識使用規則》停止使用認證證書和認證標志, 在暫停期間，客戶的管理體系認證暫時無效。

6.7.3暫停期限

認證資格暫停期最長不超過6個月。

6.8 恢復認證資格的條件和程序

6.8.1 恢復認證資格的條件

獲證客戶已針對暫停認證資格的原因采取了有效的糾正措施，產生原因已經消除，認證資格的恢復符合相關的認證要求，同時已證實在暫停期內沒有使用、引用認證資格（如廣告宣傳）和使用認證標志。

6.8.2 恢復認證資格的程序

a) 在確定的認證資格暫停限期結束前，根據暫停原因，獲證客戶在規定期限內向CQM提出恢復認證資格的《恢復使用認證證書和認證標志的申請書》；

b) 需要時，獲證客戶應提交相關糾正措施和有效性驗證材料；

c) 經CQM審定，確認獲證客戶在暫停認證資格的認證范圍內已恢復符合相關的認證要求，作出同意恢復認證資格的結論，頒發《恢復使用認證證書和標志的通知》并公告。

6.9 撤銷認證資格的條件和程序

6.9.1 撤銷認證資格的條件

符合下列條件之一的獲證客戶，CQM將撤銷其認證證書：

--獲證客戶審核未通過。

--獲證客戶被注銷或撤銷法律地位證明文件。

a) 獲證客戶的法律地位、資質不再符合國家的最新要求；

--獲證客戶拒絕配合認證監管部門實施的監督檢查，或者對有關事項的詢問和調查提供了虛假材料或信息。

--獲證客戶出現重大的信息安全泄露事故等，經執法監管部門確認是獲證客戶違規造成。

a) 獲證客戶于獲證期間在認證范圍內發生國家抽檢不合格，并造成嚴重影響。

--獲證客戶在證書有效期間有其他嚴重違反法律法規行為，受到相關執法監管部門處罰。

--獲證客戶暫停認證證書的期限已滿但導致暫停的問題未得到解決或糾正（包括持有的行政許可證明、資質證書、強制性認證證書等已經過期失效但申請未獲批準）。

--獲證客戶沒有運行管理體系或者已不具備運行條件。

a)獲證客戶在認證范圍內的管理體系發生重大變更，未向CQM通報，并在短期內無法滿足認證要求；

b) 獲證客戶體制變更后原管理體系已不再適宜；

c) 獲證客戶不再進行體系覆蓋內的云服務信息安全服務；

d) 獲證客戶在認證范圍內的組織單元、服務及其過程和活動嚴重不能滿足適用的最新法律法規和標準的要求，并在短期內無法采取措施或采取措施無效的；

e)獲證客戶停業或關閉的。

--獲證客戶不按相關規定正確引用和宣傳獲得的認證信息，造成嚴重影響或后果，或者認證機構已要求其糾正但超過2個月仍未糾正。

a) 獲證客戶在獲證期間發生大量誤用認證證書和認證標志，并未能及時有效地采取糾正和糾正措施，誤導消費者，影響面大；

b) 獲證客戶轉讓認證證書和認證標志；

--獲證客戶發生了與信息安全泄露事故，反映出獲證客戶的體系建立及運行存在重大缺陷。

--獲證客戶因換發新證而撤銷舊證書。

--獲證客戶不承擔、履行認證合同約定的責任和義務。

a) 獲證客戶單方面宣布不履行與CQM簽署認證合同中規定的責任和義務的；

b) 獲證客戶長期拖繳認證費用，并催繳無效的；

c) 經核實獲證客戶提供虛假信息，且影響了審核、認證決定的有效性的；

d) 獲證客戶更換認證機構的（未書面告知CQM的）；

e) 獲證客戶對顧客或相關方的重大投訴不做處理的。

--獲證客戶主動放棄認證。

--其他原因需要撤銷證書。

6.9.2 撤銷認證資格的程序

經CQM核實與審定，確認獲證客戶在認證范圍內的管理體系不再滿足認證要求，作出撤銷認證資格的結論，發放《認證處置決定通知書》并公告，同時收回認證證書,認證客戶不得再使用認證證書和認證標志。

 

7 認證證書和認證標志

7.1 認證證書和認證標志

7.1.1 認證證書

初次認證認證證書有效期最長為3年。再認證的認證證書有效期不超過最近一次有效認證證書截止期再加3年，但再認證的認證證書有效期最長不超過42個月。如獲證客戶要求繼續使用認證證書，應在證書有效期內接受再認證。

7.1.2 認證標志

按CQM《管理體系認證證書和認證標志、認可標識使用規則》要求執行。

7.2 認證證書和認證標志的使用

獲證客戶應建立認證證書和認證標志的使用方案，獲證后按照《管理體系認證證書和認證標志、認可標識使用規則》正確使用認證證書和認證標志。

7.3 認證證書和認證標志的誤用

獲證客戶誤用認證證書和認證標志，可能導致認證資格的暫?；虺蜂N。誤用認證證書和標志的類型及對誤用認證證書和標志的處理見《管理體系管理體系認證證書和認證標志、認可標識使用規則》中規定。

獲證客戶一旦發現誤用認證證書或認證標志，應立即采取糾正措施，并報告方圓審核管理部門。

 

8 獲證客戶的信息通報

獲證客戶應建立向方圓通報最新信息的程序，并及時通報其重大投訴、國家監督檢查結果、重大事故及獲證客戶變更的各種信息等。變更信息包括（但不限于）以下：

a) 組織名稱，組織法人，隸屬關系；

b) 聯系人，聯系方式(包括：電話、傳真、手機)；        

c) 組織地址(包括：注冊地址、認證地址、郵編)；   

d) 體系覆蓋人數；         

e) 認證范圍變化；  

f) 組織機構和職能分配；         

g) 組織認證場所/服務點的增加；   

h) 管理體系文件

i) 適用性聲明及其版本的變化；         

j) 云服務標準的變化；       

k) 商標等信息。

8.1向CQM通報以下信息的要求：

1）業務、地點、組織結構變化等情況的信息（及時通報）；

2）顧客投訴的相關信息；

3）認證客戶的體系文件信息的變化；

4）有嚴重信息安全事故（包括已經或可能嚴重損害國家安全、社會秩序、公共利益或獲證客戶及其相關方的合法權益）的信息（及時通報）；

5）其他重要信息。（視情況）

當上述信息發生變更時，獲證客戶應填寫《獲證組織認證信息變更溝通單》，并及時反饋給CQM。變更信息反饋渠道及聯系信息詳見《獲證組織認證信息變更溝通單》中的聯系方式。

監督審核前，通過《監督審核通知單》回執及附件將企業參與服務提供的其他方數量變化信息，服務點變化信息填寫在申請書附錄里通報CQM。

 

9 認證要求變更的條件和程序

9.1 認證要求變更的條件

a) 獲證客戶保持認證資格有效；

b) 認證要求變更應在規定的時間前完成；

c) 申請認證要求變更的獲證客戶應提交認證要求變更需求申請，并提交按新的認證要求進行體系調整的證據；

d) 獲證客戶的管理體系已滿足新的認證要求,且已正常運行。

9.2 認證要求變更的程序

a) 在認證要求變更轉換期結束前，獲證客戶向CQM提出認證要求變更申請；提出申請日期宜在轉換期截止前至少90天；

b) CQM通過對獲證客戶實施年度監督審核或再認證審核，或應獲證客戶要求安排的認證要求變更的專項審核，評審調整后的管理體系對認證要求的符合性、適宜性和有效性；

c) 經CQM審定，認為獲證客戶已滿足批準認證資格的條件，同意批準認證范圍，換發認證證書或附件，收回原證書，認證證書的注冊號和有效期保持不變。

 

10 保密

CQM承諾為認證客戶保密（提前告知認證客戶的需公開信息除外）。對認證客戶的保密信息如需公開或向第三方提供時，將擬提供的信息提前通知認證客戶（法律限制除外）。

如有證據表明，CQM因認證接觸受審核方的商業、技術秘密，而泄露給第三者（法律規定除外），承擔相應法律責任。

 

11 申訴/投訴、爭議及處理

對CQM或審核人員違反國家認證法律、法規、認可機構有關規定、缺乏公正性及對認證的評價結果等有異議時，可以向CQM提出申訴、投訴。

CQM將在30日內答復處理情況。

對CQM申訴/投訴和爭議的處理有異議時可向中國合格評定國家認可委員會、中國國家認證認可監督管理委員會等有關部門進一步申訴/投訴。

 

12 費用

實施本方案的費用，按CQM/S-GK-003-（8）《云服務信息安全管理體系認證收費管理規則》執行。

 

13 公告

對獲得認證、暫停、恢復或撤銷的認證客戶，在CQM網站上公布。

 

14 附則

本方案由方圓標志認證集團有限公司負責解釋。