信息安全管理体系认证实施规则

e. 评价受审核方是否策划和实施了内部审核与管理评审，确认管理体系是否已运行并且超过 3 个月以及管理体系的实施程度能否证明客户已为第二阶段审核做好准备。对管理体系成文信息不符合现场实际、相关体系运行尚未超过 3 个月或者无法证明超过 3 个月的，以及其他不具备二阶段审核条件的，不应实施二阶段审核；

第一阶段审核发现会以文件方式并告知受审核方，包括识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题。

3.4.2 第一阶段文件审查

创智认证在收到受审核方的体系文件及相关资料后及时安排审核组（长）对提交的文件进行审核，以确认其是否符合相关管理体系认证标准及相关法律、法规的要求。若提交的文件不符合要求，创智认证会将问题告知受审核方，并提出文件整改要求。受审核应按规定时间要求完成文件修改工作，并将修改后的文件提交创智认证。对于受审核方的其他相关体系文件可在第一阶段现场进一步审核。

3.4.3 第一阶段现场审核程序

1. 现场审核开始时，首先召开首次会议，受审核方最高领导层及其体系覆盖范围部门领导应参加会议。审核组在首次会议上向受审核方说明审核目的、审核依据、审核覆盖范围和审核方法、明确受限制区域，确认审核计划，同时将可能引起审核中止的条件告知受审核方。如双方有不同意见，应协商解决。

2. 审核组根据审核计划及事先编制的审核核查单，采用会晤、访问、查阅文件记录、现场观察等方法，对受审核方的管理体系进行审核，取得客观证据，并记录审核结果。

3. 在审核期间，受审核方应予协助、配合，并保证：

a) 审核组能够查阅组织管理体系有关的文件资料和质量记录，包括原始记录；

b) 审核组能够进入与管理体系审核有关的场所；

c) 审核组能够与管理体系有关的人员进行访谈；

d) 提供审核组进行管理体系审核时所必需的设施和条件，并指定陪同人员。

4. 现场审核结束前，审核组应与受审核方负责人（或其代表）进行会晤，表明审核组第一阶段现场审核的意见。并召开末次会议，表明审核组现场审核的结论意见。

5. 在审核中发现的问题，由受审核方采取纠正措施，并在第二阶段审核前完成，审核组在第二阶段审核前或第二阶段现场审核时予以验证。

3.4.4 第二阶段审核

第二阶段审核的内容是对组织的管理体系实施的有效性进行评价。现场审核程序参见第一阶段要求（见 3.4.3）。

二阶段审核组现场审核结论包括下列三种情况

a. 不推荐注册；

b. 推荐注册；

c. 待纠正措施实施并验证确认符合要求后推荐注册。

受审核方如对结论意见有不同看法，与审核组不能达成一致时，审核组应专门加以记录并报告创智认证。

对于现场审核结论，组长有最后决定权。

3.4.5 审核报告

审核报告按不同阶段、不同内容分为审核组末次会议的“ 口头报告 ”、现场出具的 “不符合项报告 ”、最终的书面“审核报告 ”。

离开现场之前，审核组在末次会上以口头方式做出关于受审核方的管理体系是否符合认证标准要求的说明，并使受审核方有机会对审核发现及其依据提出质疑，并将审核中所发现的不符以不符合项的形式提供给受审核方，明确纠正及纠正措施要求。

审核组长完成不符合项验证后提交书面审核报告，经创智认证批准后发给受审核方。

3.4.6 不符合纠正及验证

针对审核过程中发现的问题，审核组开具不符合项或观察项，要求受审核方对每一不符合项或观察项加以确认，并告知受审核方完成纠正及纠正措施的日期及跟踪验证的方式。纠正措施的验证有书面验证，现场跟踪验证验证二种方式。由审核组根据受审核方不符合项的性质和纠正措施的要求确定其中一种有效的验证方式。根据不符合项严重程度分为：轻微不符合项、一般不符合项、严重不符合项三类，轻微不符合项要求整改时间15至30天内完成，一般不符合项要求整改时间30至60天完成，严重不符合项整改时间60至90天内完成。

审核组长负责审查受审核方提交的不符合项的纠正和纠正措施，验证有效性，将验证

结果告知受审核方。

如果受审核方未能在规定时间内完成不符合的纠正和纠正措施，则不推荐受审核方通过认证/再认证或暂停其认证证书。

对于审核中发现的观察项，下一次审核的审核组负责评审观察项的整改情况。

3.5 认证决定

创智认证在收到审核组提交的全套审核资料后，交创智认证技术委员会进行审查（若存在不符合项，须由受审核方完成纠正措施并由审核组长验证合格），进入审批注册发证程序，技委会审查将在 15 个工作日内完成。

获准认证/注册的受审核方，应符合下列条件：

a. 与创智认证签有正式管理体系认证合同，满足申请方条件；（见本文件第 2 章）

b. 认证审核程序符合规定要求，上报资料完整、手续齐全；

c. 文件化的管理体系符合认证标准或其他引用文件的要求；

d. 组织依照文件化的管理体系运行有效（特别要有充分的证据表明组织对管理评审和内部审核进行了安排和有效地实施，并得以保持），对创智认证审核时提出的不符合项已按要求全部完成了纠正措施并经审核组验证符合要求。

受审核方不能满足上述要求或者存在以下情况的，评定该受审核方不符合认证要求，客户部以书面形式告知受审核方并说明其未通过认证的原因。

a. 受审核方的管理体系有重大缺陷，不符合认证依据标准的要求。

b. 发现受审核方存在与管理体系相关的严重违法违规行为。

审查结果符合申请管理体系标准要求的，创智认证将向受审核方提供经批准的书面审核报告以及由创智认证总经理签发的创智认证管理体系的认证合格证书并进行注册登记，证书有效期为三年。

创智认证在机构网站上发布创智认证管理体系认证合格组织名录，用以向社会各界证实认证合格组织符合有关管理体系标准的要求，同时为用户与获证组织建立合同关系提供选择指南。

创智认证利用各种机会向国内外用户介绍管理体系认证合格组织，并接受国内外用户对有关情况的查询。

3.6 保持认证

3.6.1 保持认证的条件

保持获准认证/注册组织管理体系持续有效，应符合下列条件：

a. 获证组织的法律地位、资质持续符合国家的最新要求，认证范围内的法律地位文件和资质持续有效；

b. 按创智认证规定的周期和程序接受监督审核；

c. 认证证书、认证标志使用符合创智认证的规定要求；

d. 按规定要求及时向创智认证报告管理体系的变更情况；

e. 按规定交纳监督审核费用。

3.6.2 监督审核频次

创智认证将在认证合格证书三年有效期内定期对获证组织实施监督审核，以验证获证组织的管理体系是否持续满足管理体系标准的要求。每次监督审核的周期不超出 12 个月。如有特殊情况或在法律、法规要求下，将增加监督审核频次。在达到监督审核期限而有证据表明获证组织暂不具备实施监督审核的条件时，可以适当延长监督审核期限，最长间隔不能超过 15 个月（初次认证后的第一次监督审核在认证决定日期起 12 个月内进行），且监督审核至少每个日历年（应进行再认证的年份除外）进行一次。

3.6.3 证书有效期内的情况通报

获证组织发生以下情况时，需及联系创智认证（联系方式见附录 3），进行信息通报：

a. 客户及相关方有重大投诉；

b. 生产、销售的产品或提供的服务被质量或市场监管部门认定不合格；

c. 发生与管理体系相关的重大事故；

d. 相关情况发生变更，包括：法律地位、生产经营状况、组织状态或所有权变更；

取得的行政许可资格、强制性认证或其他资质证书变更；法定代表人、最高管理者变更；生产经营或服务的工作场所变更；联系方式变更；管理体系覆盖的活动范围变更；管理体系和重要过程的重大变更等。需特别关注，创智认证将随时更新认证范围内的多场所清单。为确保该信息的准确性，客户组织应将认证所涵盖的任何场所的关闭情况通知创智认证，未通知的情况将被视为误用认证；

e. 出现影响管理体系运行的其他重要情况（如管理体系标准变更或体系认证范围扩大或缩小等）等。

获证组织通报时应填写《管理体系信息通报表》（见附录 2），并附上必要的资料或说明。一般情况下，应在更改/变动后 1 个月内通知创智认证业务部，如发生上述 b)、 c)条情况时，应在事故或问题发生后48 小时内通知创智认证业务部（特殊情况不超过 1 周，以电话方式通报的，应补填《管理体系信息通报表》），创智认证根据情况决定是否进行现场调查，或实施管理体系复审，复审不受正常监督审核频次的限制。创智认证将根据复审结果，做出换发证书或认证撤销的决定。

3.6.4 扩大认证范围

扩大认证范围包括认证依据标准的扩大，也可包括过程（活动）的增加、产品范围、生产规模（场地、区域）的扩大。

3.6.4.1 扩大认证范围的条件

a. 获证组织申请扩大认证范围应在其法律地位文件和资质规定的范围内；

b. 获证组织的管理体系应覆盖申请扩大的认证范围，并符合认证标准要求；

c. 至少近一年来，获证组织在申请扩大认证范围内未发生重大事故和国家检查不合格；

3.6.4.2 扩大认证范围的程序

a. 获证组织需向创智认证正式提交扩大认证范围的书面申请书和相关附件；

b. 创智认证对获证组织的扩项申请进行评审，适用时获证组织应与创智认证补充签署或修订认证合同，并按照规定补充缴纳认证费用；

c. 获证组织申请扩大认证范围所涉及的管理体系文件经审查已符合认证标准；

d. 对获证组织申请扩大认证范围所涉及的管理体系，创智认证结合监督审核或按协议要求实施认证程序（如有规定，对简单的扩大认证范围可以不需要现场审核），对认证合格者按初审程序更换证书。

3.6.5 缩小认证范围

3.6.5.1 缩小认证范围的条件

如果组织在认证范围的某些部分持续地或严重地不满足认证要求，创智认证将按照认证标准的要求缩小其认证范围，以排除不满足要求的部分，具体情况如下：

a.获证组织的认证范围内部分产品范围、现场、区域、生产线、主要过程等不再继续符合认证标准和其他附加要求；或

b.获证组织的认证范围内部分产品范围、现场、区域、生产线、主要过程等不愿再继续保持认证资格的。

3.6.5.2 缩小认证范围的程序

a.获证组织向创智认证正式提交缩小认证范围的书面申请书，并提供理由和证据；

b.需要时，获证组织与创智认证修订认证合同；

c.经创智认证技术委会审定，认为获证组织在申请缩小认证范围不会对仍需保持的认证范围产生影响，报公司总经理批准，由公司总经理签署换发认证证书，但认证证书的注册号和有效期保持不变；

3.6.6 认证要求的变更

当认证要求发生变化时，创智认证将以书面或其他方式将其认证要求的任何变更通知获证组织，并对其是否符合新的要求予以验证。为确保实施这些要求，获证组织可能需要与创智认证补充签署或修订认证合同。

3.7 再认证要求

认证合格证书有效期满前三个月，获证组织可提出换证申请。创智认证将对获证组织管理体系进行全面再认证，全面再认证的程序与初次审核时的程序相同。经全面再认证确认获证组织管理体系持续满足管理体系标准要求，创智认证批准同意其延长，并更换证书。

4 管理体系认证标志、认证证书和认可标识的使用

4.1 标识的说明

4.1.1 创智认证的管理体系认证合格标志（以下简称认证标志）是经国家工商行政管理部门登记的受法律保护的标志，由创智认证随同管理体系认证合格证书一起颁发给获证组织合法使用，未经创智认证允许，获证组织不得将此标志转让给其他组织或个人使用。

4.1.2 认可标识是认可机构（CNAS）颁发的、供获准认可的机构使用的、表示其认可资格的图形标识。

4.1.3 IAF-MLA/CNAS 国际互认联合标识：由 IAF-MLA 国际互认标识和认可标识共同组成的图形标识，简称 IAF-MLA/CNAS 联合标识。

4.2 认证证书

创智认证的管理体系认证合格证书（见附录4）按照要求进行统一制作、发放。未经创智认证授权，其他组织或个人不得自行翻印或仿制。创智认证颁发的管理体系认证证书为中、英文各一份，中、英文证书内容一致。

4.2.1 认证证书内容

认证证书内容包括：

a. 获准认证组织名称、地址、社会信用代码、证书注册号（适用时包括总证书号和子证书号）等；

b. 依据的管理体系标准和／或其他规范性文件的编号与版次；

c. 认证证书的生效期和有效期（变更情况发生时增加换证日期）；

d. 体系覆盖的范围描述；

e. 创智认证的名称、地址与标志；

f. 创智认证盖章；

g. 适用时，相关的认可标识、认可注册号及国际互认标识；

h. 证书查询方式；

i. 认证证书相关附件（适用时）等。

4.2.2 获证组织证书注册号示例

011 17 IS2 0001 R0 S

企业规模为小型

初次认证

证书的顺序累计号

2013 版标准

证书年份后二位

CZC 认可注册号

其中，“R0 ”代表初次认证，R1代表第一次再认证，R2 代表第二次再认证，以此类推；“S ”代表企业规模为小型，“M ”“L ”分别代表企业规模为中型、大型。

4.2.3证书状态管理恢复

4.2.3.1证书暂停未满6个月可根据要求进行监督审核暂停变恢复

4.2.3.2证书暂停满6个月进行撤销，撤销后未满6个月审核后可进行恢复

4.2.3.3证书暂停撤销后满6个月需进行从新认证审核颁发新证书

4.3 认证标志和认可标识图示

4.3.1 创智认证服务（成都）有限公司（CZC）的管理体系认证标志如下所示：

4.3.2 认证标志的尺寸、颜色和制作

获证组织使用认证标志应符合上述规定的图案，尺寸可根据创智认证提供的图样按比例放大或缩小，颜色应使用基本颜色或单一黑色。

4.4 标志和证书的使用

4.4.1 标志和证书的使用

4.4.1.1 认证证书和标志只证明获证组织的管理体系符合申请认证的管理体系标准的要求，不能证明获证组织生产的产品、活动符合其产品标准或产品安全认证标准的要求。获证组织可以将认证合格证书和标志作为符合管理标准要求的证明文件加以应用，但不得将该标志用在产品上，或作为产品的合格说明。获证组织不得将标志用于实验室检测、校准或检查的报告。

4.4.1.2 获证组织可以将证书和标志用在公开出版物、函件（包括信纸、信封）、传播

媒介（如互联网、宣传册或广告）上，但不得引起产品（包括服务）或过程已通过认证的误解。若认证证书范围缩小，获证组织应随之修改所有相关的宣传资料。

4.4.1.3 获证组织可以在产品包装上或附带信息中声明其管理体系通过认证的管理规

则。产品包装的判别标准是其可从产品上移除且不会导致产品分解、碎裂或损坏。附带信息的判别标准是其可分开获得或易于分离。型号标签或铭牌被视为产品的一部分。声明决不应暗示产品、过程或服务以这种方式得到了认证。声明应包含对下列的引用：

-- 获证组织的标识（例如品牌或名称）；

-- 管理体系的类型（例如质量、环境）和适用标准；

-- 本机构名称。

4.4.1.4 如果以某种方式明确说明了“生产该产品的管理体系通过了由创智认证依据 GB/T×× × × ×或 ISO×× × × ×进行的认证 ”，则可将标志使用在运输产品的大箱子上（不能用在一个有形产品或在单个包装箱、容器等产品上，及在测试/分析活动中所出具的测试/分析报告）。

4.4.1.5 获证组织不得将认证标志使用在与认证范围无关的各类业务及其各类宣传载体上，进行误导宣传。

4.4.1.6 获证组织在使用认证标志时应接受创智认证对认证证书和认证标志的正确使用的监督检查。

4.4.1.7 当获证组织的名称、地址或认证要求发生变化时，应提出申请换发认证证书，创智认证将重新签发认证证书及附件。

4.5 违规处理

如发现获证组织对认证证书、标志的使用不符合要求、误用或有意错用认证标志、发生对创智认证认证制度的不正确宣传时，创智认证将根据其情节的轻重和引起不良影响后果，做出处理，包括：口头或书面警告、要求采取纠正或采取纠正措施、暂停证书、撤销证书资格和公告违规行为及必要的法律措施。

5 暂停、撤销认证的条件及程序

5.1 暂停

5.1.1 获证组织有下列情况之一的，创智认证在调查核实后的 5 个工作日暂停该组织的认证资格。

a. 获证组织因自身原因无法按时接受监督审核、再认证审核，超过规定期限的；

b. 发现获证组织管理体系持续地或严重地不满足认证要求，包括对管理体系有效性的要求；

c. 错误使用认证证书、认证标志，未采取纠正措施的；

d. 获证组织被有关执法监管部门责令停业整顿的；

e. 获证组织被地方认证监管部门发现体系运行存在问题，需要暂停证书的；

f. 持有的行政许可证明、资质证书、强制性认证证书等过期失效，重新提交的申请已被受理但尚未换证的；

g. 不承担、履行认证合同约定的责任和义务的；

h. 获证组织主动请求暂停的。

i. 对于监督审核中提出的不符合项，未按规定时限进行纠正且无合理说明的（或纠正措施未被证实有效的）；

j. 获证组织发生管理体系相关重大事故。

5.1.2 当做出证书暂停处理后，创智认证将向获证组织发出“管理体系认证证书和标志变化通知 ”，通知获证组织其证书已被暂停。被暂停认证资格期间，获证组织不得以被认证的身份继续宣传其认证状态和使用认证标志。

5.1.3 一般情况下，认证资格暂停时间不超过 6 个月，但属于上述 f)情形的暂停期可至相关单位作出许可决定之日。

5.1.4 当被暂停认证资格的获证组织在创智认证规定的期限内采取整改措施，并经验证

满足规定的条件后，创智认证将取消暂停，恢复其认证资格；超过规定时间后将撤销其认证资格，收回证书。暂停期间，经获证组织确认并同意后，可能在暂停期到期前撤销其认证资格。

5.2 撤销

5.2.1 获证组织有下列情况之一的，创智认证在获得相关信息并调查核实后的 5 个工作日撤销其认证资格。

a. 获证组织被注销或撤销法律地位证明文件的；

b. 被国家质量监督检验检疫总局列入质量信用严重失信企业名单

c. 拒绝配合认证监管部门实施的监督检查，或者对有关事项的询问和调查提供了虚假材料或信息的；

d. 被暂停认证资格后，未在暂停期限内就存在问题采取相应有效的整改措施的（包括持有的行政许可证明、资质证书、强制性认证证书等已经过期失效但申请未获批准）；

e. 发现获证组织相关管理体系存在严重违反法律法规要求；

f. 获证组织发生管理体系相关重大事故,经执法监管部门确认是获证组织违规造成的；

g. 获证组织没有运行管理体系或者因解散、破产、倒闭、经营不善或其它原因已不具备运行条件的；

h. 不按相关规定正确引用和宣传获得的认证信息，造成严重影响或后果的，或者赛已要求获证组织纠正但超过 2 个月仍未纠正的；

i. 在认证有效期内，由于体系认证规则发生变更，获证组织不愿符合新要求的；

j. 其它严重违反与创智认证正式协议中的有关规定，已造成了严重影响和后果且经查属实的；

k. 获证组织主动要求撤销证书的。

5.2.2 当作出撤销获证组织的认证资格后，创智认证向获证组织发出“管理体系认证证书和标志变化通知 ”，通知获证组织其证书已被撤销。被撤销认证资格的获证组织不得继续其所有利用认证资格的活动，并按创智认证的要求交回所有认证文件。

5.2.3 对于被其他认证机构撤销认证资格的获证组织，其被撤销的认证资格创智认证不作恢复处理，可以重新申请认证。

5.3 暂停、撤销的公示

获证组织的认证证书被暂停或撤销后，创智认证将在官方网站上进行公示，并按要求上报国家认监委（CNCA、CNAS）。

6 申诉、投诉

6.1 管理体系认证的申请方、受审核方以及其他组织和个人均可对创智认证与认证有关的工作提出申诉或投诉。

6.2 申、投诉的详细规定见创智认证公开文件《申诉、投诉和争议处理规则》。

7 收费

7.1 创智认证是经中国合格评定国家认可委员会（CNAS）认可的，不以营利为目的的，自负盈亏、独立核算的第三方管理体系认证机构，其认证业务活动费用来自认证收费。

7.2 收费项目包括：

a.固定费用，含：1) 申请费

2) 注册费

3) 证书费

4) 年金（如标志使用费、管理费）

b.认证审核费，含： 1) 文件审查费

2) 现场审核费

c.交通、食、宿费（由受审核方承担或据实收取）

d.监督审核费：包括现场审核费和年金，在证书有效期内按照合同约定的周期实施监督审核，最后一次监督审核将同证书三年有效期满的再认证一起进行。

认证管理费根据 CNAS、CCAA 及国家有关规定执行。认证审核费（包括监督审核）根据受审核方的规模大小，审核现场场地分布，产品复杂程度以及申请的认证用标准，按认可要求核定现场审核所需人 · 日数来核定审核费。创智认证收费标准详见创智认证公开文件《管理体系认证/注册收费标准》。

创智认证服务（成都）有限公司

文件名称：信息安全管理体系认证规则

文件编号：CZC-ISMS-001:2025

8 其他

本认证规则由创智认证服务（成都）有限公司批准后实施。

附录 1：国家认证认可监督管理委员会批文

附录 2：管理体系信息通报表

附录 3：CZC认证业务联系方式

附录4：认证证书样式

附录 1 国家认证认可监督管理委员会批文

创智认证服务（成都）有限公司

文件名称：信息安全管理体系认证规则

文件编号：CZC-ISMS-001:2025

附录 2 管理体系信息通报表

组织名称
通讯地址
采用标准	□GB/T 19001- □GB/T 24001- □GB/T 45001- □GB/T 22080- □ISO/IEC 20000-1： □GB/T 23331- □GB/T 27922 □其他：
注册号		证书有效期
联系人		电话
邮箱		邮编
体系认证范围
一、本组织管理体系的更改（在相应说明□中打√ , 并随附相应更改的信息）。 1. 获证组织名称变更 □ 2. 获证组织法定代表人、最高管理者变更 □ 3. 获证组织法律地位、生产经营状况、组织状态或所有权变更 □ 4. 联系人信息变更（注明联系人名称、职务、手机、座机、邮编、传真） □ 5. 地址变更（注册地址、通讯地址、审核覆盖地址的变更） □ 6. 行政许可资格、强制性认证或其他资质证书变更 □ 7. 专业范围或生产制造或产品/活动范围变更（如需变更认证范围，需提交申请表） □ 8. 违法法律法规的情况 □ 9. 管理体系和重要过程的重大变更 □ 10. 体系内人数变更 □ 11. 其他方面变更 □
变更详细描述（可另附相关资料）	变更内容详述：变更时间节点： □结合监督变更 □单独变更
二、企业发生事故（产品质量、职业健康安全、环境、信息安全、IT 服务、能源事故、业务连续性事故等）：
三、执法部门检查时发现的问题或重大投诉情况（请写明时间、地点、经过、原因分析、结果）：
签发人（单位盖章） : 年月日

备注：如以上管理体系变更涉及到证书的更换（如组织名称、注册地址、审核地址变更等），需要交纳证书费 500 元。

创智认证服务（成都）有限公司

文件名称：信息安全管理体系认证规则

文件编号：CZC-ISMS-001:2025

附录 3 CZC 认证业务联系方式

部门	工作内容	联系电话
业务部	l 认证申请受理、合同洽谈； l 认证后服务、认证交费、证书制作、证书领取； l 申、投诉受理； l 认证证书、标志使用申请受理 l 体系变更通报受理	13881835642 18382601153
审查一部、审查二部、技术研发部 / 绿色低碳部	l 审核计划安排； l 认证证书、标志使用的监督管理 l 新业务领域的技术储备； l 认证技术支撑	18280070741 17608031665
技术委员会	l 认证评定	13881835642

创智认证服务（成都）有限公司

文件名称：信息安全管理体系认证规则

文件编号：CZC-ISMS-001:2025

附录 4 认证证书样式

ꄴ前一个：无

ꄲ后一个：无