第一篇:关于加强信息安全管理体系认证安全管理的通知-工信部联协〔2010〕394号
工业和信息化部加强政府部门信息技术外包服务安全管理
中华人民共和国工业和信息化部公告
2011年第21号
为加强国务院各部委、各直属机构信息技术外包服务的安全管理,保证政府信息和信息系统安全,根据国家有关政策要求,我部制定了《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序》(暂行),现予以公告。
附件:政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序(暂行)
二Ο一一年七月二十日
(联系单位及电话:工业和信息化部信息安全协调司 010-68205959)
政府部门信息技术外包服务机构
申请信息安全管理体系认证安全审查程序
(暂 行)
为加强国务院各部委、各直属机构信息技术外包服务的安全管理,保证政府信息和信息系统安全,依据工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会联合印发的《关于加强信息安全管理体系认证安全管理的通知》(工信部联协〔2010〕394号),制定本审查程序。
本审查程序所称政府部门信息技术外包服务机构(以下简称服务机构),是指国务院各部委、各直属机构以签订合同的方式,委托承担信息技术服务且非本部门所属的专业机构。信息技术服务主要包括信息系统设计与开发、信息系统集成、监理与测试、运行维护、数据处理、数据备份与灾难恢复、应急技术支持、安全测评、信息系统托管等。
三、本审查程序所称信息安全管理体系认证,是指由认证机构依据信息安全管理体系相关标准和规范,对一个单位信息安全管理水平符合标准情况进行的合格评定活动。
四、鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。
五、鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
六、服务机构申请信息安全管理体系认证(含再认证)时,应经工业和信息化部安全审查同意。
七、工业和信息化部负责安全审查的管理工作,包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。
八、申请安全审查的服务机构应向工业和信息化部提交以下材料:
(一)经服务机构法定代表人或其授权代表签署的《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》(附表1)。
(二)服务机构拟提交给信息安全管理体系认证机构的认证申请材料,包括服务机构的营业执照及组织机构代码证书复印件、机构简介、主要业务流程、信息安全管理体系相关程序文件及其清单,以及认证机构要求提供的其他材料。
(三)服务机构拟选定的信息安全管理体系认证机构的基本信息,包括认证机构名称、性质、资质、联系方式及机构简介等。
(四)服务机构证明其在申请认证、再认证及年度复核过程中确保不泄露政府重要信息的相关说明材料,包括但不限于拟与认证机构签署的安全保密协议,对认证活动中涉及政府信息的数据、文档、设备的安全管理措施,以及对参与认证人员的安全管理措施等。
(五)工业和信息化部要求提供的其他补充材料。
九、工业和信息化部对服务机构提交的申请材料进行形式审查,并将是否受理的结果告知提交申请的服务机构。
十、工业和信息化部会同相关部门,组织专家对受理的申请进行实质审查,评估认证活动可能带来的信息安全风险,并将审查结果告知提交申请的服务机构。
十一、经审查同意申请并获得信息安全管理体系认证证书的服务机构,应在获证后30个工作日内向工业和信息化部备案。
十二、自本审查程序公告之日起,对于未经工业和信息化部同意自行申请信息安全管理体系认证(含再认证),以及在审查过程中弄虚作假、谎报申请材料的服务机构,工业和信息化部将在一定范围予以通报。
十三、本审查程序由工业和信息化部负责解释。
十四、本审查程序自公告之日起实施。
第二篇:信息安全管理体系认证申请书
申请编号:
信息安全管理体系认证
申 请 书
(
申请组织信息
1.1 基本信息
申请组织全称(中文):
; 申请组织全称(英文):
。地址(邮编)(中文):
; 地址(邮编)(英文):
。网址:
;
法人代表:
;管理者代表:
;
联系人:
电话:
传真:
邮箱:
。1.2 申请认证所需信息
1.2.1 申请认证的管理体系所覆盖的业务活动范围、信息资产及技术:
。1.2.2 申请组织的总人数为
人,申请认证的管理体系所覆盖人数为
人,覆盖的场所共
处,其中不在同一地点的有
处,请列出全部地点名称:。
1.2.3 控制目标和控制措施删减说明:。
1.2.4 申请认证的管理体系开始运行的时间为:
****年**月**日;
该体系是否已完成内审?是否安排预审核?
日;
(如需预审核,则预审核的时间至少比正式认证审核时间提前一个月); 希望正式认证审核时间为:
****年**月**日。1.2.5 审核所用语言:
中文
英文
其它:。
是,否。
是,是,否。
否;希望的预审核时间为
年
月1.2.6 是否可安排在周六、周日进行现场审核?企业作息时间:上午:
下午:
。申请认证所需资料
2.1 法律地位的证明文件,如营业执照及年检证明复印件; 2.2 组织机构代码证书复印件;
2.3 申请认证体系有效运行的证明文件(至少三个月); 2.4 申请组织简介;
2.5 申请组织的主要业务流程;
2.6 组织机构图或职能表述文件;
2.7 申请组织的体系文件,需包含但不仅限于:(1)ISMS方针文件;(2)风险评估程序;(3)风险处理程序;(4)文件控制程序;(5)记录控制程序;(6)内部审核程序;(7)纠正措施与预防措施程序;(8)控制措施有效性的测量程序;(9)适用性声明;(10)管理评审程序; 2.8 如适用,组织的自主决定文件;
2.9 申请组织的体系文件与ISO/IEC27001:2005(E)的对照说明文件; 2.10 申请组织内部审核和管理评审的证明资料; 2.11 申请组织ISMS记录的保密性或敏感性声明;
2.12 中国信息安全认证中心要求申请组织提交的其他补充资料。变更(申请变更时请填写)
3.1 组织所获证书颁证机构:
; 3.2 组织所获证书编号:
; 3.3 组织所获证书颁证日期:
;
3.4 组织初次认证的管理体系认证范围:
;
3.5 初次认证申请时,组织的总人数为
人,申请认证的管理体系所覆盖人数为
人,覆盖的场所共
处,其中不在同一地点的有
处,请列出全部地点名称:
;
3.6 变更原因及详细说明:
。其它
4.1申请组织是否已经通过其他的体系认证?
否;
是,请填写下列信息:
已通过的体系名称 通过时间 认证机构名称
****年**月**日;
****年**月**日
;
****年**月**日
。4.2 申请组织在申请认证前,是否已经通过相关咨询公司进行咨询?
否;
是,请填写下列信息:
咨询时间:
年
月至
年
月
咨询机构名称:。
4.3组织一年内是否有发生违反与认证的体系相关的国家法律法规及发生重大事故的情况?
否;
是,请说明情况:
。4.4 其他需要说明的问题:
。备注
(1)申请时请提交所有资料纸版1份,电子版1份(WORD格式)。(2)联系信息:
Tel:010-65994351/4341 Fax:010-65994276 E-mail: ms@isccc.gov.cn http://www.xiexiebang.com 北京朝外大街甲10号中认大厦11层(100020)
第三篇:信息安全管理体系管理评审报告
信息安全管理体系管理评审报告 评审日期:2009 年 4 月 1 日
评审目的:分析 2009 外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。
评审内容: ①
安全方针和目标是否正在实现,过去 4 个月中所取得的业绩是否达到、完成或超过安全 方针和目标的要求;
②
管理人员和监督人员过去 4 个月中管理与监督的状况,是否达到预期要求;
③
管理体系运行是否受控、是否有效(近期内审结果); ④
纠正措施和预防措施执行情况如何; ⑤
听取资源充分性报告; ⑥
风险评估中提出的薄弱点或威胁; ⑦
客户反馈意见的汇总分析; ⑧
员工培训教育情况分析报告; ⑨
客户投诉及其处理情况汇总; ⑩
改进的建议; ⑪
其他日常管理议题。
评审组成员:
评审意见和结论:
1、本公司按照 ISO27001:2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统 集成活动和电子验印、票据防伪系统的生产活动;从运行以来,管理体系得到了不断地改进 与完善,总体运行情况良好。
2、《ISMS 手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通 过努力正在逐步实现。
3、《ISMS 手册》中所列的控制项(133 项参数或指标)是真实的。与之相关联的机构和岗 位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资 源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。
4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动,内审共发现 9 个不 符合项,这些问题均已得到了纠正;纠正措施执行情况良好。
5、采用附录 A 中的 11 类控制方式,其中其中删减了 8 处,其余 125 个控制点得到了满意 的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。
6、我公司 2009 工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,委 托监测软件的测量也可进一步增加
7、客户反馈的意见,如对信息安全的信心保证;2008 年未接到客户投诉,但通过认证是增 加信心的有效手段,顾客意见将得到满足。
8、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。
9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立 了相应的组织机构、设置了相应的岗位、配备了相应的人员,其机构、岗位和人员的职责明确,配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有 效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系,对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。会议作出以下决议:
1、现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。
2、本公司各部门和全体人员、外包方都必须按照体系文件的规定,指导、约束自己的行为,履行自己的岗位职责;应注意利用日常点检,不断确定持续改进的措施,实现本公司的信息 安全方针和目标。
3、本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化,保证管理体系的 有效运行。
4、由总经理及时完成本次管理评审报告;技术服务部负责整理本次管理评审记录并归档,同时传递给其他部门,输入下一计划。
5、管理评审报告分发范围:各部门负责人和内审员。对今后工作的改进要求:
1、应不断提高全员的信息安全意识,保证管理体系的有效运行和持续改进,提高体系文件 的运行效率,通过体系外审视最近的目的。
2、加强对体系文件的宣贯和学习,讲究方式,提高效率;加强对软件及应用专业知识和相 关法律法规的学习,确保他们具有与其所承担任务相适应的工作能力。
3、进一步完善应急预案编制,加强对威胁的认识,并据此完善调查制度,逐步建设一套完 善的应急监测、响应系统。
4、进一步加强数据储存机房内部管理,不断提高管理的应用的水平,尽快完善同步备份制 度活着尽量减少储存的备份时差。
5、进一步了解管理部门、社会各界需求及园区企业的需求,细分这些需求,逐步满足这些 需求,增强本公司竞争力。
6、日常监测工作的安排要提前,加强计划性,细化月计划、周计划,使各项工作开始之前 有足够的时间准备,降低忙中出错的几率。
7、责成网络部,尽快完成支持业务可持续性设备的科学演练。
8、加强对纠正预防措施处理意见的学习,上半年派相关人员前往咨询机构做进一步的学习交流,提高本公司纠正预防能力。畅通顾客意见的渠道,加强收集顾客意见,增强重点项目、重点客户的关注程度。
9、上述的输出,要在下次监督审核以前完成,责成各主管职能部门经理监督负责。
管理者代表: 总经理:
日期:
2009 年 4 月 1 日
第四篇:工信部网络信息安全工程师证书办理报名
---2014年本月办理工信部高级网络信息安全工程师证报名即将开始!名额有限,需要办理的朋友请把2寸蓝底证件照片电子版和名字,身份证号码发给我邮箱。此证书属于全国职业技术证书,国家认可,工信部网站可查,报名和咨询联系本人135-2162-65-07。
第五篇:工信部网站备案信息安全保障责任书(2012)
网络信息安全保障责任书
互联网接入业务(包括互联网类专线、主机托管、虚拟 主机等)客户以及信息源责任单位(增值业务服务提供商 SP 和增值业务内容提供商 CP、应用提供商 AP、信息发布和传播 等单位)接入中国电信股份有限公司山东分公司(以下简称 “山东电信”)的各业务内容保证遵守以下各项规定:
第一条 遵守国家有关法律、行政法规和管理规章,严 格执行网络信息安全管理规定。
第二条 互联网接入业务客户以及信息源责任单位应建 立有效的网络信息安全管理制度和技术保障措施,建立完善 的内容管理审核制度,定期组织自查自纠,及时处理各种隐 患。落实信息安全责任制,加强从事信息管理人员的教育检 查工作,并接受相关业务主管部门的管理、监督和检查。
第三条 不得利用中国电信移动通信网、中国电信互联网 或相关业务平台从事危害国家安全、泄露国家机密等违法犯 罪活动,不得利用中国电信移动通信网、中国电信互联网或 相关业务平台制作、查阅、复制和传播违反宪法和法律、妨 碍社会治安破坏国家统一、破坏民族团结、色情、暴力等的 信息,不得利用中国电信移动通信网、中国电信互联网或相 关业务平台发布任何含有下列内容之一的信息:
1、反对宪法所确定的基本原则的;
2、危害国家安全,泄露国家机密,颠覆国家政权,破坏 国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视,破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆 犯罪的;
8、侮辱或者诽谤他人,侵害他人合法权益的;
9、含有法律、行政法规禁止的其他内容的。
10、除上述内容外,信息发布单位必须保证所发布的信 息不存在互联网低俗内容,低俗内容定义见“第十四条”。
发现上述违法犯罪活动和有害信息,信息源责任单位应 立即采取措施制止并及时向有关主管部门报告。
第四条 手机 WAP 网站不得制作、传播淫秽色情等有害 信息。
第五条 行业短信业务、SP/CP 合作业务等短信群发行为 不得发生两类行为:一是利用行业短信端口向未同意接收信 息的用户发送信息;二是擅自转租行业短信端口群发信息。第六条 接入中国电信移动通信网、中国电信互联网或 相关业务平台的 wap 网站、互联网网站、短信、彩信及电话 信息服务必须具备互联网信息服务经营许可证及网站备案 号。
第七条 保证不通过各种形式利用中国电信各业务系统 为任何其他在合法约定之外的业务和服务代收费。
第八条 不得以“家政服务”、“心理咨询”等名义开办 无特定内容的人工聊天栏目。
第九条 从事电话信息服务的专业咨询人员必须具备相 应的资质,并在信息台固定经营场所接听电话,不得将用户 电话呼转到其他场所。
第十条 从事电话信息服务的所有人工服务要全程录 音,并保存至少 6 个月。
第十一条 在合作业务推广过程中,信息源责任单位应 保证业务、推广渠道中无任何违法、违规、色情及低俗信息 内容;不得利用广告联盟等第三方进行合作业务的推广。
第十二条 接入中国电信移动通信网、中国电信互联网 或相关业务平台的服务器未经电信方同意,不得为第三方提 供服务;服务器未经电信方不得擅自转租,否则转租者承担 一切经济和刑事责任。
第十三条 网站备案规定
一、先备案再接入中国电信移动通信网、中国电信互联
网或相关业务平台的 wap 网站、互联网网站必须具备互联网 信息服务经营许可证及网站备案号,必须严格遵循“先备案、后接入”的原则。未备案严禁接入,一经发现未备案网站山 东电信立即关停,网站业主承担工业与信息化部、山东省通 信管理局等主管单位的所有惩罚责任,如现金罚款、刑事责 任等。
二、保证网站备案信息准确 依据《非经营性互联网备案管理办法》第二十三条规定,接入中国电信移动通信网、中国电信互联网或相关业务平台 的 wap 网站、互联网网站用户提交的所有备案信息真实准确,备案信息发生变化时,要及时在备案系统中提交更新信息,否则,山东电信有权关闭网站并注销备案。
第十四条 业务信息中不得有以下互联网低俗内容:
一、表现或隐晦表现性行为、令人产生性联想、具有挑 逗性或者侮辱性的内容;
二、对人体性部位的直接暴露和描写;
三、对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言;
四、对性部位描述、暴露,或者只用很小遮盖物的内容;
五、全身或者隐私部位未着衣物,仅用肢体遮盖隐私部
位的内容;
六、带有侵犯个人隐私性质的走光、偷拍、漏点等内容;
七、以挑逗性标题吸引点击的;
八、相关部门禁止传播的色情、低俗小说,音视频内容,包括一些电影的删节片段; 九、一夜情、换妻、SM 等不正当交友信息;
十、情色动漫;
十一、宣扬血腥暴力、恶意谩骂、侮辱他人等内容;
十二、非法“性药品”广告和性病治疗广告;
十三、未经他人允许或利用“人肉搜索”恶意传播他人 隐私信息。
第十五条 互联网接入业务客户以及信息源责任单位 承诺对所发布信息的内容和涉及的版权问题负责,并承担由 此导致的一切法律责任。
第十六条 如需要开办留言版、BBS、聊天室等电子公 告服务,需向属地通信管理局申请经营性互联网信息服务许 可或者办理非经营性互联网信息服务备案时,提出专项申请 或者专项备案。凡开办留言版、BBS、聊天室内容的必须有专 人负责安全审核与管理,如出现问题,要承担一切法律责任。
第十七条 若违反上述规定,山东电信视情节严重程度,有权要求互联网接入业务客户以及信息源责任单位交纳伍仟 到壹万元不等的违约金,并暂停业务接入,直至互联网接入 业务客户以及信息源责任单位按照业务协议规定及《信息安 全保障责任书》的要求完成整改后,方可再次接入。对于二 次违规或首次违规造成严重后果的,一律禁止恢复接入服务,且不退还任何已交纳费用。第十八条 本责任书经甲乙双方签字后生效,责任书文本 一式两份,双方各执一份。
互联网接入业务客户以及信息源责任单位:
责任人签字:(单位盖章)
日期:
点击咨询 