两部门:开展数据安全管理认证工作 规范网络数据处理活动(2)
4.5 获证后监督
4.5.1 监督的频次
认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次。
4.5.2 监督的内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的网络运营者持续符合认证要求。
4.5.3 获证后监督结果的评价
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
4.6 认证时限
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。
5 认证证书和认证标志
5.1 认证证书
5.1.1 认证证书的保持
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
5.1.2 认证证书的变更
认证证书有效期内,若获得认证的网络运营者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。
5.1.3 认证证书的注销、暂停和撤销
当获得认证的网络运营者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。
认证机构应当采用适当方式对外公布被暂停、注销和撤销的网络运营者认证证书。
5.2 认证标志
“ABCD”代表认证机构识别信息。
5.3 认证证书和认证标志的使用
在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。
6 认证实施细则
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
7 认证责任
认证机构应当对现场审核结论、认证结论负责。
技术验证机构应当对技术验证结论负责。
认证委托人应当对认证委托资料的真实性、合法性负责。