為促進我國服務貿易產業發展，滿足社會相關業界對信息安全管理體系認證服務的需求，根據《*人民共和國認證認可條例》的規定，*認監委決定正式開展信息安全管理體系認證工作，現將相關事項公告如下： 

　　一、認證依據 

　　信息安全管理體系認證統一采用*人民共和國*標準GB/T22080-2008/ISO/IEC 27001:2005《信息技術 安全技術 信息安全管理體系 要求》。 

　　二、資質條件 

　　符合下列條件的認證機構可以申請開展信息安全管理體系認證業務： 

　　（一）經*認監委批準并具有三年以上質量管理體系認證從業資格； 

　　（二）在信息安全管理體系認證領域有10名以上專職審核員。專職審核員應符合下列條件： 

　　1．與認證機構簽訂勞動合同的正式職員； 

　　2．有信息安全相關專業本科以上學歷并取得相應的學位證書； 

　　3．有從事與信息技術有關的質量管理體系認證經歷； 

　　4．三年內沒有違反認證人員管理相關規定的記錄； 

　　5．取得信息安全管理體系認證領域*注冊審核員資格(在信息安全管理體系認證領域的*注冊審核員制度建立之前，具有*認證認可協會出具的信息安全管理體系認證審核員能力確認證明)。 

　　（三）兩年內沒有違反認證認可法規的記錄； 

　　（四）與信息技術有關的質量管理體系認證業務范圍的認證能力符合GB/T 27021-2007《合格評定 管理體系審核認證機構的要求》，且在提交申請前兩個年度內的認可評審中沒有嚴重不符合項； 

　　（五）*認監委規定的其他條件。 

　　三、審批程序 

　　（一）符合條件的認證機構通過《認證認可行政審批在線服務系統》提交申請。 

　　（二）*認監委按照法定程序對《認證認可行政審批在線服務系統》受理的申請進行審核，符合從業條件的認證機構批準后換發具有信息安全管理體系認證資質的《認證機構批準書》，并在*認監委網站上公布。 

　　（三）對獲準開展信息安全管理體系認證業務并具有*相關*頒發保密資質證書的認證機構，在《認證機構批準書》中標注其保密資質信息。 

　　（四）前期獲準開展信息安全管理體系認證試點工作的認證機構，無需再次提交申請。*認監委將按照本公告第二條確定的條件對相關認證機構進行審核，符合條件的換發《認證機構批準書》并在網上公布相關信息；不符合條件的要求限期滿足資質條件要求，逾期仍達不到的將注銷相應的認證資格。 

　　四、工作要求 

　　（一）*合格評定*認可中心、*認證認可協會應建立和完善信息安全管理體系認證機構認可制度和審核員注冊制度，相應制度經*認監委批準后，適時正式開展認證機構認可和審核員注冊工作。 

　　（二）獲準開展信息安全管理體系認證業務的認證機構應按照統一要求及時向*認監委上報相關認證信息。 

　　二○○九年九月二十七日