认证说明

■ ISO22301业务连续性管理体系认证

国际标准化组织 (ISO) 是一个独立的非政府组织，是全球最大的自愿性国际标准开发者联盟。 ISO 成立了 TC 223 社会安全技术委员会，以制定用于在发生自然灾害、重大恐怖分子袭击或电网中断等灾难时保护社会（包括组织）的标准。

ISO 22301:2012 由技术委员会于 2012 年发布，是首个帮助确保业务连续性的管理系统国际标准。 ISO 22301 是针对业务连续性的高级标准，认证证明通过符合这些严格做法，可预防、减轻、响应破坏性事件并从中恢复。

■ ISO22301认证流程

1、接受申请；
2、合同评审；
3、文件审查；
4、现场审核；
5、发布审计结论；
6、认证决定；
7、建议批准注册；
8、签发证书。

■ ISO22301认证需要的资料

1. 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；
2. 临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点）；
3. 适用的法律法规的标准的清单；
4. 取得相关法规规定的行政许可文件(适用时)；
5. 业务影响分析报告、风险评估报告和业务连续性计划；
6. BCMS体系文件，包括：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件；
7. 管理体系认证申请书

■ ISO 2301认证的益处

1. 组织内识别和理解关键业务过程及其中断的影响。
2. 增强组织的弹性、恢复能力及持续生存能力水平。
3. 具备超越弹性较弱的竞争对手的优势。
4. 正面的讯息传达给媒体和利益相关者，以应对危机处理。
5. 提升保险公司对组织风险管理的印象，从而降低保费。
6. 符合监管机构、保险公司、商业伙伴和其他主要利益相关者的期望。
7. 在事故、破坏甚至灾难发生时显著降低财务影响。
8. 增加组织和员工双方的生存机会。
9. 通过展示具备专业的管理中断的方法而保持甚至提升声誉。
10. 如合同或协议的承诺，在可接受的预先定义的级别，及时和有序应对事件和业务中断，保证业务连续运营。
11. 鼓励跨团队和跨组织的协调。
12. 通过场景演练，展示可信的响应能力。
13. 以可见的证据证明整体风险管理的管理承诺。

■ ZOHOCERT的特色和价值

ㅡ 深耕IT信息行业多年的专业服务机构。

ㅡ 拥有多位二十余年实践经验的资深学院派管理专家

ㅡ 国际化视野的高质量IT专家服务团队    

认证范围

认证用标准: GB/T 30146

认证方案

1 适用范围 

本认证方案适用于上海中豪认证有限公司（以下简称：ZOHO）实施数据安全风险管理认证，满足第三方认证制度要求，作为提供认证服务的规范。必要时，在认证合同中补充相关的技术要求。 本认证方案在认证双方签订合同时予以确认和采用。

2 认证模式 

ZOHO 首先对受审核方的数据安全风险管理进行初次审核，经过评定，确认是否批准认证；通过认证之后，在认证证书的有效期内对获证客户进行监督，确认是否持续满足认证要求。

3 认证过程流程图 

4 认证申请的基本条件 

1.认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等，可独立申请认证。其他类型的客户，应由具备资格的单位代为申请；

2.国家、地方或行业有要求时，认证客户具有规定的行政许可文件,其申请认证范围应在法律地位文件和行政许可文件核准的的范围内；

3.认证客户按相应的业务连续性管理体系标准建立了文件化的管理体系，初次认证现场审核前已至少持续稳定运行了 3 个月并进行了一次完整的内部审核和管理评审，正常生产、经营状态;

4.认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定，承担与认证有关的法律责任，并有义务协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息；

5.认证客户在一年内，未发生严重损害国家安全、社会秩序、公共利益及认证客户相关方的合法权益的服务质量事故或在全国企业信用信息公示系统中被列入“严重违法企业名单”或违反国家相关法规，虚报、瞒报获证所需信息的情况； 

6.认证客户承诺获得 ZOHO 认证后，按规定使用认证证书和认证标志和有关信息，不得擅自利用管理体系认证证书的文字、符号误导公众认为其产品或服务通过认证按合同支付认证费用，并按规定接受监督；

7.认证客户承诺获得 ZOHO 认证后，按照 ZOHO 要求向ZOHO 通报管理体系变更的信息和其他可能影响管理体系持续满足认证标准要求的能力的事宜的信息，一般包括：客户及相关方有重大投诉；发生或可能严重损害国家安全、社会秩序、公共利益及认证客户相关方的合法权益的重大事故；相关情况发生变更（包括：法律地位、生产经营状况、组织状态或所有权变更、强制性认证或其他资质证书变更；法定代表人、最高管理者、管理者代表发生变更；生产经营或服务的工作场所变更；管理体系覆盖的活动范围变更；管理体系和重要过程的重大变更等）；出现影响管理体系运行的其他重要情况；

8.认证审核期间，认证客户能够提供与拟认证范围相关的产品/服务/活动现场和业务连续性管理体系演练活动现场;

5 审核实施 

5.1 审核准则 

认证双方确认的审核依据标准为 GB/T 30146 或 ISO 22301。审核准则还包括受审核方所适用的方针、程序、标准、法律法规、业务连续性管理业务连续性管理体系要求、合同要求或行业规范。

5.2 审核过程 

5.2.1 初次认证审核 

初次认证审核分两个阶段实施：第一阶段和第二阶段。

第一阶段审核的目的是了解受审核方的基本信息、审核管理体系文件，识别任何引起关注的、在第二阶段审核中可能被判定为不符合的问题，为第二阶段审核提供关注点。 

第二阶段审核的目的是评价受审核方管理体系实施的符合性和有效性。审核组对在第一阶段和第二阶段审核中收集的所有信息和证据进行分析，以形成审核结论。

5.2.1.1 第一阶段审核 

审核组结合受审核方的管理体系运行目标和体系覆盖活动的专业特点，根据受审核方提供的管理体系文件、体系运作过程、运作场所和现场的具体情况、内部审核与管理评审策划和实施情况，确认受审核方对标准的理解和实施的程度、对业务连续性目标的实现具有重要影响的关键点、相关的法律法规要求的遵守情况以及管理体系范围和边界，以确定第二阶段审核安排。

如果发生任何将影响管理体系的重要变更，ZOHO 可能将重复整个或部分第一阶段审核。第一阶段审核的结果可能导致推迟或取消第二阶段。

5.2.1.2 第二阶段审核 

审核组现场评价受审核方管理体系的实施情况，包括符合性和有效性。第二阶段审核至少包括以下方面：

a.与适用的管理体系标准和其他规范性文件的所有要求的符合情况；

b.依据关键绩效目标和指标，对业务连续性管理体系的绩效进行的监视、测量、报告和评审； 

c.受审核方过程的运作控制； 

d.业务影响分析和风险评估的实施情况； 

e.业务连续性程序的建立和实施、演练和测试、评价情况；

f.内部审核和管理评审实施情况； 

g.管理职责的落实，包括针对方针、目标的管理职责；

h.为实现总目标而建立的职能层次目标的策划和实现情况；

i.规范性要求、方针、适用的法律要求、职责、人员能力、运作、程序、绩效数据和内部审核发现及结论之间的联系。

如果认证客户不能在初次认证第二阶段结束后的规定时间内按要求关闭不符合，ZOHO 将再实施一次第二阶段审核或不批准认证。

5.2.2 监督活动 

5.2.2.1 监督活动的方式 

ZOHO 采用现场监督审核和日常监督（如关注国家有关部门发布的信息公报、关注获证客户相关方的信息、获证客户有关信息的日常跟踪、审查获证客户及其运作的说明、要求获证客户提供文件和记录等）相结合的方式。

5.2.2.2 获证后监督审核的内容 

a.任何变更（如资源、过程、组织结构、已识别的关键控制点等）；

b.持续的运作控制业务连续性目标的实现情况；

c.内部审核和管理评审； 

d.投诉的处理； 

e.管理体系实施的有效性； 

f.认证范围相关的业务连续性管理活动现场情况；

g.为持续改进而策划的活动的进展； 

h.针对上次审核中确定的不符合所采取的措施和效果；

i.证书和标志的使用和（或）任何其他对认证资格的引用。获证客户应保存全部投诉记录，需要时提供认证机构。

ZOHO 根据以上信息对获证客户管理体系进行再评价，确认其是否持续满足认证要求。 监督审核时，如认证客户没有按时关闭不符合，将可能导致认证证书的暂停或撤销。 

5.2.2.3 监督审核的频次 

在证书有效期内，获证客户须接受监督审核，监督审核应至少每个日历年（应进行再认证的年份除外）进行一次。初次认证/再认证后的第一次监督审核应在认证决定日期起 12 个月内进行；此后，监督审核应至少每个日历年（应进行再认证的年份除外）进行一次，且两次监督审核的时间间隔不得超过15 个月。

获证客户因未在规定的时间内实施监督审核而暂停认证证书的，监督审核恢复后，下次审核时间应按原计划时间计算。 

若发生下述情况则需增加监督频次，或安排提前较短时间通知的审核：

a.获证客户对管理体系进行了重大更改； 

b.有足够信息表明获证客户发生了组织机构、生产过程变更等影响到其认证基础的更改；

c.获证客户出现业务中断事故或相关方提出对相关管理体系运行效果的投诉未得到处理时； 

d.其他需要考虑的情况。 

5.2.3 再认证 

获证客户在证书有效期满前至少三个月，提出再认证申请。再认证审核的目的是验证作为一个整体的组织管理体系全面的持续符合性和有效性，以及认证范围的持续相关性和适宜性。再认证审核的程序和要求参照5.2.1 条实施。

在对获证客户的日常监督中，发现获证客户的出现严重影响管理体系运作的重大变更时，或对获证客户的投诉分析和其他信息表明获证客户不再满足认证要求时，将安排特殊审核或与获证客户商定提前安排再认证审核。再认证时通常可不进行一阶段审核，但当获证客户的管理体系和获证客户的内外部运作环境有重大变化时，再认证审核活动可能需要有第一阶段审核。

再认证审核时，认证客户应在当前认证证书到期前接受ZOHO 现场审核，并对于审核组开具的不符合在规定的时间内按要求关闭。否则，因认证客户的原因导致 ZOHO 不能在原认证证书到期后 6 个月内作出认证决定的，再认证审核失效。

5.2.4 特殊审核 

5.2.4.1 扩大认证范围审核 

针对已获证的客户，ZOHO 对扩大认证范围的申请进行评审，确定能否予以扩大的决定所需的审核活动，这一工作可与监督审核同时进行。

5.2.4.2 提前较短时间通知的审核

为调查投诉、对变更做出回应或对被暂停的获证客户进行追踪，需要在提前较短时间通知获证客户后对其进行的审核。 

获证客户被国家行政主管部门查出不符合时，ZOHO 将对获证客户实施特殊审核。如获证客户不接受特殊审核，认证证书将被暂停。

5.3 现场审核活动实施 

审核组在现场审核前与受审核方沟通，确认审核安排，说明首末次会议议程。审核组按照审核计划中日程安排实施审核，通过查阅受审核方的文件和记录、与过程和活动的岗位人员面谈、座谈、观察产品、服务形成过程和活动等适当方法，抽样收集并验证有关的信息，形成审核发现，确认不符合情况。

在审核过程中，审核组及时与受审核方沟通，通报审核进程，确认审核证据，解决分歧。当审核发现表明不能达到审核目的时，应说明理由，商定后续措施。如果需要改变审核目的和范围或终止审核时，应经审核派出机构评审和批准后实施。 

审核组长在现场审核结束前，与受审核方沟通现场审核的信息，请受审核方对发现的问题和不符合报告进行确认，并商定对不符合的后续措施的安排，确认审核结论。审核组编制审核报告并提交受审核方。 

审核报告属 ZOHO 所有，如果在审核后续活动中（含ZOHO 进行认证决定期间）有所更改，ZOHO 将重新向受审核方提供审核报告。请受审核方妥善保管审核报告、不符合报告及其纠正材料等相应材料。

认证收费

证书样本

认证标志