附件7 信息安全管理体系认证申请资料
附件7
信息安全管理体系认证申请资料
1、申请信息安全管理体系认证应具备下列条件:
受审核方符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求。
2、申请方提交以下文件及资料:
|
序号 |
资料内容 |
份数/页数 |
是否提供(申请方打√) |
备注 |
|
1 |
申请方简介 |
|
□是,□否 |
|
|
2 |
信息安全方针、信息安全目标文件 |
|
□是,□否 |
|
|
3 |
信息安全管理体系所涉及范围描述的文件 |
|
□是,□否 |
|
|
4 |
信息安全风险准则(信息安全接受准则、信息安全风险评估实施准则) |
|
□是,□否 |
|
|
5 |
适用性声明 |
|
□是,□否 |
|
|
6 |
信息安全风险处置计划 |
|
□是,□否 |
|
|
7 |
信息安全管理角色和职责的分配和定义 |
|
□是,□否 |
|
|
8 |
信息安全管理体系过程的文件(组织认为必要的) |
|
□是,□否 |
|
|
9 |
信息安全运行操作规程清单 |
|
□是,□否 |
|
|
10 |
不允许接触信息声明 |
|
□是,□否 |
|
|
11 |
申请认证范围多场所活动清单(场所位置、员工人数、已注册的场所) |
|
□是,□否 |
|
|
12 |
与覆盖产品、活动有关的法律/法规/标准 |
|
□是,□否 |
|
|
13 |
申请方各职能/部门物理区间平面图 |
|
□是,□否 |
|
|
14 |
申请方机构一览表及各部门职责描述 |
|
□是,□否 |
|
|
15 |
信息安全管理体系文件(具体内容见以下第5项) |
|
□是,□否 |
|
|
16 |
网络拓扑结构图(显示网络原理即可,敏感信息需删除) |
|
□是,□否 |
|
|
17 |
高风险过程及活动 |
|
||
3、申请方使用的信息系统状况描述
|
序号 |
信息系统名称 |
作用 |
用户数量 |
信息系统管理部门 |
信息系统使用部门 |
自己开发还是外购 |
系统开发和维护员工数量 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4、请如实填写下列补充信息
|
外包方数量 |
|
依赖程度 (含云服务) |
|
使用的语言数量 |
|
|
IT基础设施不同平台数量 |
|
不同种类数据库数量 |
|
不同类型网络的数量 |
|
|
服务器数量 |
|
工作站+PC+便携式计算机的数量 |
|
网络与加密技术的使用(概述基本原理性内容) |
|
|
是不是党政机关信息技术 [注1]外包服务机构? |
□是□否 |
如果是,需去工信部电子一所和北京经信委备案并签订保密协议。 |
|||
|
接受审核的项目是否涉密? |
□是□否 |
如果涉密,需双方签订保密协议。 |
|||
注:[1]信息技术服务主要包括信息系统的设计与开发、信息系统集成、监理与测试、运行维护、数据处理、数据备份与灾难恢复、应急技术支持、安全测评、信息系统托管等。
5、需提交的信息安全管理体系文件
1)信息安全方针、信息安全目标文件
2)信息安全管理体系所涉及范围描述的文件
3)信息安全风险准则(信息安全接受准则、信息安全风险评估实施准则)
4)适用性声明
5)信息安全风险处置计划
6)信息安全管理角色和职责的分配和定义
7)信息安全管理体系过程的文件(组织认为必要的)
8)运行操作规程清单(如:信息标记规程、资产处理规程、信息传输策略和规程、变更规程、软件安装控制规程、维护系统安全工程的原则、信息安全事件响应规程、实现信息安全连续性的维护规程等)
6、申请方保密要求说明
1).对于认证机构是否有特殊资质要求?¨ 否; ¨是。资质名称:
2).提交资料中是否包括保密信息?
¨ 否;
¨ 是。涉及的资料:
3).对于认证机构的其他安全要求:¨无; ¨有。具体要求: