收藏
下载资源 加入VIP,省得不是一点点

一体化认证自评价信息收集表试行.DOC

上传人:天*** 文档编号:440476 上传时间:2018-10-06 格式:DOC 页数:16 大小:227KB
下载 相关 举报
一体化认证自评价信息收集表试行.DOC_第1页
第1页 / 共16页
一体化认证自评价信息收集表试行.DOC_第2页
第2页 / 共16页
一体化认证自评价信息收集表试行.DOC_第3页
第3页 / 共16页
一体化认证自评价信息收集表试行.DOC_第4页
第4页 / 共16页
一体化认证自评价信息收集表试行.DOC_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 1 一体化认证 自评价信息收集 表 (试行) 填写说明: 1、 请根据实际情况进行填写,下列表单中未注明是否为必填项的都需要进行填写; 2、 需要证据提供的内容,可以提供文件、截图、照片等信息,可直接放在表单中,或者作为附件提供,如果作为附件提供,请将名称标注为:“附件 n( n=1、 2、 3):文件名称”,并与附件 名称保持一致。 3、 下表中大部分内容都添加了注, 可以帮助理解或填写,请关注; 4、 本表单请与申请书或监督审核回执一起发回本中心。 1. 组织 基本信息 ( 4.1、 4.3) (具有法

2、律地位的组织,如果认证组织范围 不是具有法律地位的组织,此处填写其隶属的具有法律地位的组织) : 组织名称 组织地址(注册) 组织地址(运营) 组织人数 人员信息 姓名 电话 手机 邮箱 法人 自愿提供原则 自愿提供原则 负责人 自愿提供原则 联系人 必填 组织架构及说明(包括组织架构图和部门职责): 管理体系覆盖的组织范围 (包括部门和人员数量) : 管理体系覆盖的组织范围内删减说明(包括部门、人员数量和不覆盖原因): 管理体系覆盖的运营地址( 如果 体系覆盖的运营活动 有多场所、临时场所和( 或)服务点,请填写附表 3): 主营业务及对信息技术的依赖程度: 业务名称 业务关键活动 主责部门

3、 依赖程度 高 中 低 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 2 高 中 低 高 中 低 注 : 依赖程度高 , 相关信息系统中断将造成业务中断 , 无替代活动 ; 依赖程度 中, 相关信息系统中断将造成业务 的 部分活动无法进行 , 有替代活动 ; 依赖程度低 ,无信息技术支持,或者支持的系统中断对业务影响很小,不会造成业务中断。 2. 体系建设 相关部门信息 ( 体系的 规划、建设、运行和维护的部门) ( 4.1) (可以增加部门信息表单的数量) 部门 一 办公地址 人数 人员信息 姓名 电话 手机 邮箱 负责人 自愿提供原则 联系人 必填

4、 部门架构和职责(包括架构图、内部团队的职责说明及团队负责人): 部门二 办公地址 人数 人员信息 姓名 电话 手机 邮箱 负责人 自愿提供原则 联系人 必填 部门架构和职责(包括架构图、内部团队的职责说明及团队负责人): 部门三 办公地址 人数 人员信息 姓名 电话 手机 邮箱 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 3 负责人 自愿提供原则 联系人 必填 部门架构和职责(包括架构图、内部团队的职责说明及团队负责人): 3. 组织战略和管理层诉求 ( 4.2、 5、 6.2) 组织 总体战略和业务目标 (包括组织对自身的定位和业务发展方向) (

5、注:填写时一定是组织的战略和业务发展目标 ,就算是信息技术部门做体系也要了解整个组织的战略与业务情况 ,因为标注要求的组织背景分析是全面的 ,要建立一个体系,建好了其它体系是加入到这个体系而不是分别建立体系的思想) 信息技术应用(信息化)战略定位 和方针 : ( ITSMS 必填 ) 与 信息技术应用(信息化)战略相关的主要任务和关键指标 (年度 工作计划) : ( ITSMS 必填 ) 安全保障战略定位 和方针 : ( ISMS 必填 ) 与 安全保障战略相关的主要任务和关键指标 (年度工作计划) : ( ISMS 必填 ) 信息技术支持和安全保障的目标: 管理层的风险偏好: 管理层 其它

6、诉求 ( 如果有 ) : (注:管理层往往都有对体系相关内容的期望与要求 ,这些非常重要 ,她是体现一个组织体系建设输入的主要内容) 4. 相关方诉求 4.1. 相关方诉求 ( 4.1、 4.2) (组织应明确其与管理体系相关的各方及相关诉求) 注:相关方 的诉求是体系建立的基础 ,上面只说了管理层的诉求 ,这里 是全面的 ,至少应该包括 : 员工、客户、ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 4 监管(含法律法规、主管部门等)、股东、社会(含公众)、供应商(含第三方服务)、竞争对手;这些相关方实际填写时要细化,如监管可以分为国家法律法规要求(相

7、关主体是政府)、具体行业主管、集团、地方主管、特殊领域监管部门等,诉求的描述要尽量具体,如客户不能简单满足合同要求,要明确合同要求的主要内容,因为这些是最后要满足的。 类型 相关方 诉求 优先级 高 中 低 高 中 低 高 中 低 注 : 1、相关方主要是指对信息技术支持和安全保 障能力有影响或被其影响的组织或个人,例如管理层、客户等,可以考虑组织内外的相关方。 2、 相关方的诉求主要为相关对组织的所有要求和期望 , 不仅仅为 信息技术支持和安全保障能力相关的诉求。 3、优先级根据相关方对 信息技术支持和安全保障能力的影响或受到的相关影响的程度决定 , 决定相关方要求考虑的优先级 , 优先级分

8、为三级 , 分别为高 、 中 、 低 。 高 :要求必须满足,或不满足会产生不可接受的影响; 中 :要求不是必须满足,但是如果不满足对业务较大影响 低 :要求不是必须满足,但是如果不满足对业务有一定影响。 4、相关方参考: 内部相关 方:股东、各级管理层、员工。 外部相关方:国家、政府、社区、监管机构、上级单位或公司、供应商、客户、用户、合作伙伴、竞争对手、第三方。 4.2. 相关方沟通( 7.4) 沟通管理过程(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 相关方沟通信息 注:重点要说明沟通的内容,及机制,沟通对象与前面的相关方

9、一致。 沟通对象 沟通内容 沟通方式 沟通周期 沟通负责部门ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 5 和人员 5. 组织体系建设与运行能力(特别 信息技 术支持和安全保障能力相关信息 ) 5.1. 资源管理能力 ( 7.1、 7.2) 5.1.1. 人力资源 人力资源管理方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 当前 人力资源配置情况 岗位名称 岗位职责 配置人数 上级岗位 5.1.2. 财务 资源 注:重点在于管理模式,组织整体财力和对体系相关必要支出的支持 财务管理

10、方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件, 请在这里说明管理方式): 每年信息技术 相关 费用 (请提供相关的预核算信息) ( 自愿提供原则 ) : 每年信息技术 运行 维护费用 ( 自愿提供原则 ) : 每年安全保障 费用 ( 自愿提供原则 ) : 5.1.3. 物质资源 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 6 物质 资源管理 方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 现有物质资源信息 (也可 用资产清单或满足以下信息的

11、 其他 文件 等方式证明已收集 ) 资源名称 资源类型 资源数量 主责人员 注 : 资源类 型主要包括 :物理环境、基础设施、 监视和测量资源、 网络、系统平台、应用支撑平台、应用 、数据、终端 、辅助设施 业务信息系统基本信息 ( 也可用资产清单或满足以下信息的其他文件等方式证明已收集 ) 业务信息系统总数: 业务类系统名称 功能 支持 系统平台 相关业务 5.1.4. 信息资源 注 : 信息资源主要为组织在业务运行和管理过程中需要使用的支持信息 。 理解信息资源要从理解资源的角度去思考,资源是用来支持一个组织实现其业务目标、实现相关方诉求、管理风险的东西,理解了这一点就不难理解一个组织的信

12、息资源了。 具体例子见表格内内容。关键是对组织业务发展有支持作用的所有有用信息 信息资源管理方式 (包括信息获取、使用、保存、处置等方面的制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 主要信息资源 (以下只是示例,根据企业行业不同差异较大) 表格内为示例 ,仅供参考 信息资源名称 用途 来源方式 1 国家政策信息(如十三 .五规划、 XXX 发展纲要、 XXX 战略制定 上级来文、网络搜ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 7 部门规划、 XXX 文件等); 索 2 组织历史战略规划及

13、战略执行评审报告; 战略制定 历史记录 3 XXX 行业年度报告; 战略制定 上级发放 4 XXX 产业发展报告; 战略制定 购买 5 组织 SWOT 分析报告; 战略制定 咨询服务 6 XXX 市场分析报告; 策略制定 咨询服务、自主总结 7 组织年度业务目标。 策略制定 战略规划 8 XXX 专利 产品开发 购买 9 XXX 专利 产品开发 组织研发成果 10 客户通信计费信息 产品开发 组织业务运营信息 11 客户征信信息 服务策略制定 委托调查 5.1.5. 技术资源 技术资源管理方式 (包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管

14、理方式): 当前的技术资源信息 资源 提供中使用的专业技术 (例如:负载均衡、云技术等): 技术名称 功能 相关 资源名称 信息技术支持和安全保障过程中使用的技术平台和工具 (例如:备份工具 、监控平台等): 技术平台和工具名称 功能 支持 业务 名称 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 8 5.1.6. 政策支持情况(政策为管理过程中设定的原则和策略) 注:一个组织制定一个流程或操作规程都应 有一个政策支持,这里的政策包括两个层面一是国家及行业主管制定的政策与组织业务相关的要求和有利规定;如关于支持绿色能源企业发展的决定、关于加强科技风险防

15、控的要求等,更多的是组织自己为保证业务正常有序开展制定的制度,如技术等级晋升制度、保密制度、资金使用要求等,此项信息将来会进一步细化,包括政策名称、作用、来源、落实政策所采取的措施等。 政策管理方式 (包括政策的制定、审批、修订、发布等方面的制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 5.1.7. 领导的支持(具体信息在附表 1 中体现) 5.2. 过程管理 ( 7.5) 过程管理基本信息( 过程的相关内容请在附表 1 中填写 ) 5.3. 风险管理 ( 6.1)( ISMS: 8.2、 8.3 ) 风险管理过程 (如果相关制度请附

16、带提供,管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式): 风险接受准则: 关注的风险点( 包括已识别的需要关注的风险,以及对应的防范措施, 也 可提供风险评估和风险处 置 相关 文件 作为附件 证明已按规定流程识别和处置了不可接受的风险 ) 编号 风险对象 风险描述 防范措施 1) 2) 3) 注 1:评价风险评估过程和方法是否符合要求,风险识别和处理是否全面和突出重点。 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 9 注 2:评价适用性声明中对附录 A 的删减是否合理( ISMS)。 6. 体系运行情况( 7.

17、5、 9、 10) 6.1. 内审 实施情况 注:内审 发现的问题及其改进 情况请填写 附表 2 6.2. 外审不符合与观察项改进情况 注:外审不符合与观察项改进情况请填写附表 2 6.3. 管理评审实施情况 注:请详细说明管理评审提出的改进要求及执行情况: 6.4. 对标准条款的删减情况及删减合理性( QMS)说明: 6.5. 适用性声明的版本和发布日期( ISMS): 适用性声明的删减情况( ISMS): 6.6. 体系运行开始时间: 年 月 日。 6.7. 体系运行情况记录保持方式和实际保存情况说明: 7. 其他需要补充的信息: 本人承诺本文件中提供的信息为实际组织管理运行信息 ,信息真实 ,来源可靠。 ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表 中国信息安全认证中心 10 受审核方承诺人签字: 时间: 本人承诺本文件中增加的信息为企业提供,所 做评价基于所获得的证据对照认证准则而形成的。 审核员签字: 时间:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 1

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。