需要在12个月内进行现场监督审核。
对于第一次现场监督审核后,项目管理人员根据上一次认证审核结果,获证方在下次监督审核前可提交各服务方向的自评估材料和(或)公共管理部分的自评估材料。
对于信誉良好的获证组织,信任度级别高,可以根据实际情况延长监督的频次和灵活运用监督的方式。
当获证组织发生重大变更、事故、信任度级别低以下或客户投诉时,可增加现场监督评估的频次。
监督的方式包括非现场监督审核和现场监督审核两种方式。
信息收集
在进行监督审核之前,中心需要收集获证组织的安全服务管理与安全服务能力的相关信息,以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
1)信息确认文件,包括但不限于:
a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b.组织信息:包括范围、组织架构、人员数量等信息的变化情况;
c.服务管理体系相关信息,关键文件化信息的变化情况。
2)自评估信息:包括但不限于:
a.安全服务管理运行情况,包括运行说明和运行证据;
b.安全服务管理监视、测量、分析和评价的结果和证据;
c.安全服务管理运行的持续改进情况,包括改进说明和证据;
d.满足法律法规的情况说明;
e.对安全服务管理符合性的自我评价。
制定审核计划
审核组应结合获证组织的信息确认文件、自评估信息、审核方案对监督审核的策划和前一次审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排、现场见证和会议的安排。
审核组长应至少在实施审核5个工作日之前,与获证组织就审核计划进行充分沟通,确保双方没有歧义。
监督审核并不覆盖认证依据所有条款,监督审核的抽样采取抽样的方式进行
抽样准则为:
1)两次监督审核必须覆盖标准所有条款和所有部门;
2)标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3)获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4)审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括对以下方面:
1)非现场审核;
2)对上次审核中确定的不符合采取的措施;
3)投诉的处理;
4)安全服务管理与安全服务能力在实现获证客户目标的有效性;
5)为持续改进而策划的活动的进展;
6)持续的运作控制;
7)任何变更;
8)标志的使用和(或)任何其他对认证资格的引用。
关于认证依据
对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。