9.6 保持認證

9.6.1 總則

GB/T 27021.1—2017 中9.6.1的要求適用。

9.6.2 監督活動

GB/T 27021.1一2017 中9.6.2的要求適用。并且，以下要求和指南適用。

9.6.2.1 IS9.6.2監督活動

9.6.2.1.1

監督審核程序， 應與本標準中有關客戶IS MS的認證審核的要求和指南保持一致。

監督的目的是驗證已被認證的IS MS得到持續實施、考慮由客戶運作變化所引起的管理體系變化的影響并確認與認證要求的持續符合。監督審核方案應至少包括：

a)管理體系的保持要素， 如信息安全風險評估與控制的維護、IS MS內部審核、管理評審和糾正措施；

b)根據ISMS標準GB/T 22080一2016和認證所需的其他文件的要求， 與來自外部各方溝通；

c)文件化的管理體系的變更；

d)發生變更的區域；

e)所選擇的 GB/T 22080-2016 的要求；

f)適宜時，其他所選擇的區域。

9.6.2.1.2

認證機構的每一次監督應至少審查以下方面：

a)ISMS在實現客戶信息安全方針的目標方面的有效性；

b)對與相關信息安全法律法規的符合性進行定期評價與評審的規程的運行情況；

c)所確定的控制的變更，及其引起的適用性聲明的變更；

d)控制的實現和有效性(根據審核方案來審查)。

9.6.2.1.3

認證機構應能夠針對與風險相關的信息安全問題及其對客戶的影響來調整監督方案，并說明監督方案的合理性。

監督審核可以與其他管理體系的審核相結合。報告應清晰地指出與每個管理體系相關的方面。

在監督審核過程中，認證機構應檢查客戶提交給認證機構的申訴和投訴記錄，并且在發現任何不符合或不滿足認證要求時， 還應檢查客戶是否對其自身的IS MS和規程進行了調查并采取了適當的糾正措施。

特別是，監督報告應包括有關消除以往出現的不符合、適用性聲明的版本和從上次審核之后發生的重大變更的信息。監督審核報告應至少完全覆蓋9.6.2.1.1和9.6.2.1.2的要求。

9.6.3 再認證

GB/T 27021.1—2017 中9.6.3的要求適用。并且，以下要求和指南適用。

9.6.3.1 IS9.6.3再認證審核

再認證審核程序， 應與本標準中有關客戶IS MS的初次認證審核的要求和指南保持一致。

允許采取糾正措施的時間，應與不符合的嚴重程度和相關的信息安全風險相一致。

9.6.4 特殊審核

GB/T 27021.1—2017 中9.6.4的要求適用。并且，以下要求和指南適用。

9.6.4.1 IS9.6.4特殊情況

如果獲得IS MS認證的客戶對其管理體系做了重大修改， 或者發生影響其獲證基礎的其他變更， 實施特殊審核所必需的活動應遵從特別規定。

9.6.5 暫停、撤銷或縮小認證范圍

GB/T 27021.12017 中9.6.5的要求適用。