认证证书和标志的使用规定

ISCCC-QOG-1101-B/1《认证证书和标志的使用规定》中国信息安全认证中心第1页共24页认证证书和标志的使用规定为使获证组织规范地使用认证证书和标志，加强对证书的管理，确保有效控制中心各类徽标、认可标志的使用，维护中心信誉，特制定本规定。1.认证证书和标志的管理1.1证书ISCCC获准颁发的认证证书有产品认证证书、体系认证证书、服务资质认证证书三类，共六种证书。1.1.1类别产品认证证书包括中国国家强制性产品认证证书（无线局域网）中国国家信息安全产品认证证书和产品信息安全认证证书、支付系统安全认证证书，认证证书如图标1所示：ISCCC-QOG-1101-B/1《认证证书和标志的使用规定》中国信息安全认证中心第2页共24页ISCCC-QOG-1101-B/1《认证证书和标志的使用规定》中国信息安全认证中心第3页共24页图标1体系认证证书包括信息安全管理体系认证证书（ISO/IEC27001:2005）和信息技术服务管理证书(ISO/IEC20000-1:2005)两类，其中信息安全管理体系认证证书包括带有认可标志和不带认可标志两种，如图标2所示：ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第2页共24页ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第3页共24页图标2服务资质证书包括信息安全服务资质认证证书一种，认证证书如图标3所示：ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第4页共24页图标31.1.2范围1.1.2.1产品认证ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第5页共24页中国国家强制性产品认证证书只适用于无线局域网产品；中国国家信息安全产品认证证书适用于《第一批信息安全产品强制性认证目录》中涵盖的八大类十三种产品；产品信息安全认证证书适用于各类产品有关信息安全的认证；支付系统安全认证证书适用于支付系统产品。1.1.2.2体系认证信息安全管理体系认证证书适用于所有类型的组织（例如商业企业、政府机构、非赢利组织）。信息技术服务管理认证证书适用于:1）为外包服务寻找竞标的组织；2)要求供应链中的所有服务提供商采用一致性方法的组织；3)对IT服务实施标杆管理的服务提供商；4)作为独立评估的基础；5)需要证实其有能力提供满足顾客要求的服务的组织；6)通过过程的有效采用来监视并改进服务质量，旨在改进服务的组织。1.1.2.3服务资质认证信息安全服务资质认证证书适用于所有提供信息安全服务的组织（例如商业企业、非赢利组织）。信息安全服务资质认证证书适用于:1)为外包服务寻找竞标的组织；2)要求供应链中的所有服务提供商采用一致性方法的组织；3)需要证实其有能力提供满足顾客要求的服务的组织；4)通过过程的有效采用来监视并改进服务质量，旨在改进服务的组织。1.1.3内容1.1.3.1产品认证证书一般包括以下内容：ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第6页共24页1）强制性认证3C标志（强制性产品认证证书适用）2）证书名称；3）证书编号；4）认证委托人名称、地址；5）产品生产者（制造商）名称、地址；6）产品名称和型号、规格、版本；7）产品标准和技术要求；8）认证依据的产品认证实施规则的编号和版次；9）证书颁发日期和有效期限；10）维持证书有效性的说明11）中国信息安全认证中心主任签字；12）CNAS认可标志（适用于获得CNAS认可的产品的认证证书）；13）中国信息安全认证中心的徽标、名称、地址、邮编、网址和印章以及证书的查询方式。1.1.3.2体系认证证书一般包括以下内容：1)证书名称；2)证书编号；3)申请人名称；4)注册地址、邮编；5)受审核地址、邮编；6)体系名称；7)认证依据的标准名称和版次；ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第7页共24页8)适用性声明版本(信息安全管理体系认证适用)；9)认证范围；10)证书颁发日期；11)证书有效期；12)中国信息安全认证中心主任签字；13)中国信息安全认证中心的徽标、名称、地址、邮编、网址和印章以及证书的查询方式；14)监督审核标识（监督审核时适用）。15）CNAS认可标志（适用于在认可领域覆盖的信息安全管理体系认证证书）1.1.3.3服务资质认证证书一般包括以下内容：1）证书名称；2）证书编号；3）获证组织的名称；4）获证组织注册名称，地址，邮编；5）审核依据的服务资质认证标准；6）对多场所组织还应在证书上明确注明每个已获证的场所名称、地址和邮政编码、及其涉及的过程(如有不同)；7）颁证日期；8）证书有效期；9）ISCCC主任签字；10）CNAS认可标志（适用于获得CNAS认可的服务资质的认证证书）；11）ISCCC徽标、名称、地址、邮编、网址、印章和钢印以及证书查询方式；1.1.4形式ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第8页共24页中心认证证书采用中、英文两种形式，（提供中英文证书各一张），当对英文内容发生争议时，以中文为准。1.1.5证书编号规定1.1.5.1产品认证证书编号中国国家强制性产品认证证书和中国国家信息安全产品认证证书编号规则按照《关于国家强制性产品认证证书填写格式的说明》要求编写。产品信息安全认证证书和支付系统安全认证证书编号规则如下：ISCCCⅩⅩⅩⅩVP/ISⅩⅩⅩⅩ（中心英文缩写）（颁证年份号）（VP/IS）（顺序号）本认证机构同类产品发出证书的数序累计号：001，002……VP：表示产品信息安全IS：表示支付系统产品证书发出年份：2007，2008，……ISCCC为中国信息安全认证中心英文缩写标志。ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第9页共24页1.1.5.2体系认证证书编号管理体系认证证书编号由中国信息安全认证中心英文缩写、颁证年份号、管理体系代号、行业代号、本中心在相应行业发出证书的累计顺序号和后缀构成，格式如下：ISCCCⅩⅩⅩⅩⅩⅩⅩⅩC（或D、F、G……）ⅩⅩⅩR0（1、2、⋯）（中心英文缩写）（颁证年份号）（管理体系代号）（行业代号）（顺序号）（后缀）后缀表示初次认证或复评换证号：初次认证为R0,第一次复评换证为R1，第二次复评换证为R2，……本认证机构相应行业发出证书的数序累计号：001，002……认证行业标准代号：制造业为C；电力、燃气及水的生产和供应业为D；交通运输、仓储和邮政业为F；信息传输、计算机服务和软件业为G；金融业为J；商务服务业为L；公共管理和社会组织为S（具体参照国家统计局行业分类标准）。证书所属管理体系代号：ISMS为信息安全管理体系；ITSM为信息技术服务管理体系;证书发出年份：2007，2008，……ISCCC为中国信息安全认证中心英文缩写标志。ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第10页共24页1.1.5.3服务资质认证证书编号ISCCCⅩⅩⅩⅩⅩⅩⅩⅩⅩⅩ（…）ⅩⅩⅩ（中心英文缩写）（颁证年份号）（服务资质代号）（服务类别缩写）（顺序号）本认证机构相应行业发出证书的数序累计号：001，002……服务类别缩写。证书所属管理体系代号：ISV为信息安全服务资质认证；证书发出年份：2008，2009……ISCCC为中国信息安全认证中心英文缩写标志。1.1.6证书有效期1.1.6.1产品认证证书中国国家强制性产品认证证书和中国信息安全产品认证证书有效期为五年，产品信息安全认证证书有效期三年，支付系统安全认证证书有效期二年。证书的有效性依靠中心的定期监督获得保持。ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第11页共24页1.1.6.2体系认证证书体系认证证书有效期为三年。在三年的有效期内，证书的有效性依靠中心的监督审核获得保持。1.1.6.3服务资质认证证书服务资质认证证书有效期为三年。在三年的有效期内，证书的有效性依靠中心定期的监督检查获得保持。1.1.7证书复印件不具有法律效力。1.1.8证书印发印发证书的程序如下：1)产品认证处/体系认证处/服务资质处向受检查方/受审核方确认《认证证书内容确认书》；2)产品认证处/体系认证处/服务资质处填写《认证证书签批请示》递交中心主管领导；3)中心主管领导批准请示后，由产品认证处/体系认证处/服务资质处印制相应的认证证书，将证书发出给受检查方/受审核方/受评审方；4）质量监督处/产品认证处负责每月统计证书信息并报至认监委和认可委。1.1.9证书的补发补发证书的程序如下：1)由于未妥善保管造成证书遗失的，获证组织可以向中心提出证书补发申请，同时要在中心有关的网站上声明挂失；2)中心产品认证处/体系认证处/服务资质处在收到获证组织的证书补发申请书（原件），挂失声明（原件），确认无误后，受理补发申请并通知申请组织证书补发收费金额；3)经中心财务处确认款到帐后，产品认证处/体系认证处/服务资质处将新证书补发给获证组织，做好相关记录和归档。ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第12页共24页1.1.10证书错误的修改如证书内容出现错误，参照以下程序进行：1)中心产品认证处/体系认证处/服务资质处负责受理证书内容的修改申请，填写《证书更改审批表》，并收回错证原件。2)如果证书错误是由于获证组织原因造成的，需经项目管理人员确认，财务处确认已交纳相关费用后，报中心领导批准，重新制作证书；3)如果证书错误是由于中心内部原因造成的，免收获证组织费用，由中心领导批准，重新制作证书；d)产品认证处/体系认证处/服务资质处收到《证书更改审批表》和原认证证书后，将重新制作的证书发放给客户，将收到的错证原件进行销毁并记录。1.1.11获证组织证书使用的权利和义务1.1.11.1产品认证证书获证组织使用证书的权利和义务如下：1)ISCCC向获证组织颁发认证证书,以证实组织的产品在证书标明的范围内满足相关标准要求；2)在认证证书的有效期内，获证组织有权正确使用认证证书；3)获证组织应在广告、宣传等活动中正确使用认证证书和有关信息。不得利用认证证书和相关文字、符号，误导公众认为认证证书覆盖范围外的管理体系、产品或服务获得认证,宣传认证结果时不应损害ISCCC的声誉；4）被暂停认证的组织,在暂停期间不得有使用认证证书的活动。1.1.11.2体系认证证书获证组织证书使用的权利和义务如下：1)在认证证书的有效期内有权正确使用认证证书；ISCCC-QOG-1101-B/1认证证书和标志的使用规定中国信息安全认证中心第13页共24页2)认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传材料中或广告宣传等商业活动，但不得利用管理体系认证证书和相关文字、符号，误导公众认为认证证书覆盖范围外的管理体系、产品或服务获得认证,宣传认证结果时不应损害中国信息安全认证中心的声誉；3)获证组织可以在有效管理体系认证证书覆盖的领域和业务范围内按以下文字描述的方式将认证证书的有关信息展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料中、广告宣传等商业活动以及产品的外包装（不是直接在产品或产品的最小包装上）上。如：“本组织（或企业）通过中国信息安全认证中心的****管理体系认证，证书号为xxxxx”注：****：应为获证组织获得的相应管理体系认证名称，如信息安全或ISO/IEC27001，ISO/IEC20000等。xxxxx：为获证组织获得的信息安全管理体系证书编号。4)在证书有效期内组织有权按照《认证证书和标志的管理程序》合理使用认证证书。5)对其它单位和个人妨碍本组织使用认证证书的行为可以向中国信息安全认证中心提出投诉。6)获证组织应妥善保管好证书，以免丢失、损坏。如发生证书丢失、损坏的，获证组织可申请补发。7)保证证书覆盖范围内的管理体系运行稳定