当被认监委稽查时,企业和认证机构分别有以下配合义务:
企业的配合义务4:
如实提供信息:企业应当按照认监委的要求,如实提供与认证相关的所有文件、记录、数据等信息,包括但不限于企业的信息安全管理体系文件、内部审核报告、管理评审报告、培训记录、风险评估报告等。不得隐瞒、篡改或伪造任何信息。
配合现场检查:为认监委的稽查人员提供必要的工作条件,允许稽查人员进入企业的相关场所,如办公区域、机房、数据中心等进行实地检查。企业的相关人员应在场配合,解答稽查人员的疑问,协助稽查人员了解企业的实际情况。
协助调查询问:企业的相关负责人及工作人员应积极配合认监委的调查询问,如实回答有关企业信息安全管理体系的建立、实施、运行等方面的问题。对于稽查人员提出的问题和要求,应认真对待并及时回应。
提供必要的支持:根据稽查工作的需要,企业应提供必要的设备、工具、技术支持等,以便稽查人员能够顺利开展工作。例如,提供计算机设备以便稽查人员查阅电子文件,或者提供技术人员协助稽查人员了解企业的信息系统架构等。
保障稽查人员安全:企业应确保稽查人员在企业内的人身安全,提供安全的工作环境。如果企业的某些场所存在安全风险,应提前告知稽查人员,并采取相应的防护措施。
认证机构的配合义务:
提供认证相关资料:认证机构需要向认监委提供与企业认证相关的所有文件和记录,包括认证申请材料、审核计划、审核报告、认证证书等。确保所提供的资料真实、准确、完整,以便认监委能够全面了解认证过程和结果1。
配合现场检查与询问:认证机构应允许认监委的稽查人员对其办公场所、审核档案等进行检查,并配合稽查人员的询问。认证机构的相关人员应如实回答有关认证活动的问题,包括认证标准的执行情况、审核人员的资质和培训情况等5。
协助追溯认证过程:如果认监委对某一具体的认证项目存在疑问,认证机构应协助稽查人员追溯认证过程,提供相关的审核记录、证据材料等,以便稽查人员能够对认证过程的合规性进行评估。
解释认证规则与标准:认证机构应向认监委的稽查人员解释其采用的认证规则和标准,以及在认证过程中如何应用这些规则和标准。对于稽查人员提出的关于认证标准的理解和执行方面的问题,认证机构应给予专业的解答和说明。
配合后续处理工作:如果认监委在稽查过程中发现问题,认证机构应积极配合认监委的后续处理工作,如按照要求进行整改、提交整改报告等。对于认监委提出的处理意见和建议,认证机构应认真对待并积极落实。