2、責任義務（5.3.3、5.3.4）

審核組將通過面對面訪談等形式，對認證委托人的最高管理者在 ISMS 中發(fā)揮領導作用的情況進行重點審核，并保留現場圖片/音像、審核記錄等證明材料。最高管理者不熟悉組織自身的信息安全方針、信息安全目標，未親自參與并推動 ISMS 實施 的，認證審核應不予通過。

認證委托人出現下列情況將導致審核終止：

（1）認證委托人對審核活動不予配合，審核活動無法進行；

（2）認證委托人的最高管理者或經授權的高級管理層成員缺席首、末次會議；

（3）認證委托人實際情況與申請材料有重大不一致；

（4）其他導致審核程序無法完成的情況。

對于認證委托人未能在規(guī)定的時限內完成對不符合所采取措施的情況，HXQC將不做出授予認證、保持認證或更新認證的決定。

嚴重不符合的驗證時限應滿足以下要求： （1）初次認證：在第二階段審核結束之日起 6 個月內完成； （2）監(jiān)督審核：在審核結束之日起 3 個月內完成； （3）再認證：在原認證證書到期前完成。

獲證組織有以下情形之一的，HXQC在調查核實后 5日內暫停其認證證書，并保留相應證據：

（1）ISMS 持續(xù)或嚴重不滿足認證要求的，包括 ISMS 文件與實際業(yè)務運作嚴重脫離；

（2）不滿足 ISMS 適用的法律法規(guī)要求，且未采取有效糾正措施的；

（3）受到與網絡安全相關的行政處罰，且尚未完成整改的；

（4）發(fā)生重大及以上級別網絡安全事件，反映獲證組織 ISMS 運行存在重大缺陷的；

（5）拒絕配合市場監(jiān)管部門的認證執(zhí)法監(jiān)督檢查，或者提供虛假材料或信息的；

（6）持有的與 ISMS 范圍有關的行政許可文件、資質證書等過期失效的；

（7）不能按照規(guī)定的時間間隔接受監(jiān)督審核的；

（8）未按相關規(guī)定正確引用和宣傳獲得的認證證書和有關信息，包括認證證書和認證標志的使用；

（9）不承擔、履行認證合同約定的責任和義務的；

（10）被有關行政監(jiān)管部門責令停產停業(yè)整頓的；

（11）發(fā)生與網絡安全相關重大輿情的；

（12）主動請求暫停的；

（13）監(jiān)督審核時發(fā)現的嚴重不符合的糾正措施未能在3 個月內完成驗證的；

（14）其他應暫停認證證書的。

HXQC可根據暫停的原因和性質確定暫停期限，暫停期限最長不得超過6個月。

獲證組織有以下情形之一的，HXQC在獲得相關信息并 調查核實后 5 日內撤銷其認證證書，并保留相應證據：

（1）被注銷或撤銷法律地位證明文件的；

（2）被“國家企業(yè)信用信息公示系統(tǒng)”和“信用中國”列入嚴重違法失信名單的；

（3）認證證書的暫停期限已滿，但導致暫停的問題未得到解決或有效糾正的；

（4）經行政監(jiān)管部門確認因獲證組織違規(guī)而造成重大及以上級別網絡安全事件的；

（5）ISMS 沒有運行或者已不具備運行條件的；

（6）其他應撤銷認證證書的。

獲證組織主動申請不再保持認證證書時，HXQC應確認在不存在暫?；虺蜂N情形后，注銷其認證證書，并保留相應證據。

（1）獲證組織可以在認證證書有效時使用 ISMS 認證證書和認證標志，并接受HXQC的監(jiān)督管理。認證證書處于暫停期間、被撤銷或注銷后，不得繼續(xù)使用認證證書和認證標志。

（2）獲證組織應當在廣告等有關宣傳中正確使用 ISMS 認證標志，不得在產品上僅標注 ISMS 認證標志，只有在注明獲證組織通過 ISMS 認證及認證機構名稱的情況下，方可在產品包裝上標注 ISMS 認證標志。