1、ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 1一体化认证自评价信息收集表(试行)填写说明:1、 请根据实际情况进行填写,下列表单中未注明是否为必填项的都需要进行填写;2、 需要证据提供的内容,可以提供文件、截图、照片等信息,可直接放在表单中,或者作为附件提供,如果作为附件提供,请将名称标注为:“附件 n(n=1 、2、3):文件名称” ,并与附件名称保持一致。3、 下表中大部分内容都添加了注,可以帮助理解或填写,请关注;4、 本表单请与申请书或监督审核回执一起发回本中心。1. 组织基本信息(4.1、4.3) (具有法律地位的组织,如果认证组织范围不是具
2、有法律地位的组织,此处填写其隶属的具有法律地位的组织): 组织名称组织地址(注册)组织地址(运营)组织人数人员信息 姓名 电话 手机 邮箱法人 自愿提供原则 自愿提供原则负责人 自愿提供原则联系人 必填组织架构及说明(包括组织架构图和部门职责): 管理体系覆盖的组织范围(包括部门和人员数量): 管理体系覆盖的组织范围内删减说明(包括部门、人员数量和不覆盖原因):管理体系覆盖的运营地址(如果体系覆盖的运营活动有多场所、临时场所和(或)服务点,请填写附表 3): 主营业务及对信息技术的依赖程度:业务名称 业务关键活动 主责部门 依赖程度高 中 低ISCCC-QOT-0510-B/6 一体化认证自评
3、价信息收集表中国信息安全认证中心 2高 中 低高 中 低注:依赖程度高,相关信息系统中断将造成业务中断,无替代活动;依赖程度中,相关信息系统中断将造成业务的部分活动无法进行,有替代活动;依赖程度低,无信息技术支持,或者支持的系统中断对业务影响很小,不会造成业务中断。2. 体系建设相关部门信息(体系的规划、建设、运行和维护的部门) (4.1) (可以增加部门信息表单的数量)部门一办公地址人数人员信息 姓名 电话 手机 邮箱负责人 自愿提供原则联系人 必填部门架构和职责(包括架构图、内部团队的职责说明及团队负责人):部门二办公地址人数人员信息 姓名 电话 手机 邮箱负责人 自愿提供原则联系人 必填
4、部门架构和职责(包括架构图、内部团队的职责说明及团队负责人):部门三办公地址人数人员信息 姓名 电话 手机 邮箱ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 3负责人 自愿提供原则联系人 必填部门架构和职责(包括架构图、内部团队的职责说明及团队负责人):3. 组织战略和管理层诉求(4.2、5、6.2)组织总体战略和业务目标(包括组织对自身的定位和业务发展方向)(注:填写时一定是组织的战略和业务发展目标,就算是信息技术部门做体系也要了解整个组织的战略与业务情况,因为标注要求的组织背景分析是全面的, 要建立一个体系,建好了其它体系是加入到这个体系而不是分别建
5、立体系的思想)信息技术应用(信息化)战略定位和方针:(ITSMS 必填)与信息技术应用(信息化)战略相关的主要任务和关键指标(年度工作计划):(ITSMS 必填)安全保障战略定位和方针:(ISMS 必填)与安全保障战略相关的主要任务和关键指标(年度工作计划):(ISMS 必填)信息技术支持和安全保障的目标: 管理层的风险偏好:管理层其它诉求(如果有): (注:管理层往往都有对体系相关内容的期望与要求,这些非常重要,她是体现一个组织体系建设输入的主要内容)4. 相关方诉求4.1. 相关方诉求(4.1、4.2) (组织应明确其与管理体系相关的各方及相关诉求)ISCCC-QOT-0510-B/6 一
6、体化认证自评价信息收集表中国信息安全认证中心 4注:相关方的诉求是体系建立的基础,上面只说了管理层的诉求,这里是全面的,至少应该包括: 员工、客户、监管(含法律法规、主管部门等) 、股东、社会(含公众) 、供应商(含第三方服务) 、竞争对手;这些相关方实际填写时要细化,如监管可以分为国家法律法规要求(相关主体是政府) 、具体行业主管、集团、地方主管、特殊领域监管部门等,诉求的描述要尽量具体,如客户不能简单满足合同要求,要明确合同要求的主要内容,因为这些是最后要满足的。类型 相关方 诉求 优先级高 中 低高 中 低高 中 低注:1、相关方主要是指对信息技术支持和安全保障能力有影响或被其影响的组织
7、或个人,例如管理层、客户等,可以考虑组织内外的相关方。2、相关方的诉求主要为相关对组织的所有要求和期望,不仅仅为信息技术支持和安全保障能力相关的诉求。3、优先级根据相关方对信息技术支持和安全保障能力的影响或受到的相关影响的程度决定,决定相关方要求考虑的优先级,优先级分为三级,分别为高、中、低。高:要求必须满足,或不满足会产生不可接受的影响;中:要求不是必须满足,但是如果不满足对业务较大影响低:要求不是必须满足,但是如果不满足对业务有一定影响。4、相关方参考:内部相关方:股东、各级管理层、员工。外部相关方:国家、政府、社区、监管机构、上级单位或公司、供应商、客户、用户、合作伙伴、竞争对手、第三方
8、。4.2. 相关方沟通(7.4)沟通管理过程(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式):相关方沟通信息注:重点要说明沟通的内容,及机制,沟通对象与前面的相关方一致。ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 5沟通对象 沟通内容 沟通方式 沟通周期 沟通负责部门和人员5. 组织体系建设与运行能力(特别信息技术支持和安全保障能力相关信息)5.1. 资源管理能力(7.1、7.2)5.1.1. 人力资源人力资源管理方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和
9、过程文件,请在这里说明管理方式):当前人力资源配置情况岗位名称 岗位职责 配置人数 上级岗位5.1.2. 财务资源注:重点在于管理模式,组织整体财力和对体系相关必要支出的支持财务管理方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式):每年信息技术相关费用(请提供相关的预核算信息) (自愿提供原则):每年信息技术运行维护费用(自愿提供原则):每年安全保障费用(自愿提供原则):ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 65.1.3. 物质资源物质资源管理方式(包括制度和过程,如果有管理过程请在
10、附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式):现有物质资源信息(也可用资产清单或满足以下信息的其他文件等方式证明已收集)资源名称 资源类型 资源数量 主责人员注:资源类型主要包括:物理环境、基础设施、监视和测量资源、网络、系统平台、应用支撑平台、应用 、数据、终端 、辅助设施业务信息系统基本信息(也可用资产清单或满足以下信息的其他文件等方式证明已收集)业务信息系统总数:业务类系统名称 功能 支持系统平台 相关业务5.1.4. 信息资源注:信息资源主要为组织在业务运行和管理过程中需要使用的支持信息。理解信息资源要从理解资源的角度去思考,资源是用来支持一个组织实现其业务
11、目标、实现相关方诉求、管理风险的东西,理解了这一点就不难理解一个组织的信息资源了。具体例子见表格内内容。关键是对组织业务发展有支持作用的所有有用信息信息资源管理方式(包括信息获取、使用、保存、处置等方面的制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式):主要信息资源(以下只是示例,根据企业行业不同差异较大)表格内为示例,仅供参考信息资源名称 用途 来源方式ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 71 国家政策信息(如十三.五规划、XXX 发展纲要、XXX部门规划、XXX 文件等) ;战略制定 上
12、级来文、网络搜索2 组织历史战略规划及战略执行评审报告; 战略制定 历史记录3 XXX 行业年度报告; 战略制定 上级发放4 XXX 产业发展报告; 战略制定 购买5 组织 SWOT 分析报告; 战略制定 咨询服务6 XXX 市场分析报告; 策略制定 咨询服务、自主总结7 组织年度业务目标。 策略制定 战略规划8 XXX 专利 产品开发 购买9 XXX 专利 产品开发 组织研发成果10 客户通信计费信息 产品开发 组织业务运营信息11 客户征信信息 服务策略制定委托调查5.1.5. 技术资源技术资源管理方式(包括制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请
13、在这里说明管理方式):当前的技术资源信息资源提供中使用的专业技术(例如:负载均衡、云技术等):技术名称 功能 相关资源名称信息技术支持和安全保障过程中使用的技术平台和工具(例如:备份工具 、监控平台等):技术平台和工具名称 功能 支持业务名称ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 85.1.6. 政策支持情况(政策为管理过程中设定的原则和策略)注:一个组织制定一个流程或操作规程都应有一个政策支持,这里的政策包括两个层面一是国家及行业主管制定的政策与组织业务相关的要求和有利规定;如关于支持绿色能源企业发展的决定 、 关于加强科技风险防控的要求等,更多
14、的是组织自己为保证业务正常有序开展制定的制度,如技术等级晋升制度 、 保密制度 、 资金使用要求等,此项信息将来会进一步细化,包括政策名称、作用、来源、落实政策所采取的措施等。政策管理方式(包括政策的制定、审批、修订、发布等方面的制度和过程,如果有管理过程请在附表 1 中填写相关内容,如果没有制度和过程文件,请在这里说明管理方式):5.1.7. 领导的支持(具体信息在附表 1 中体现)5.2. 过程管理(7.5)过程管理基本信息(过程的相关内容请在附表 1 中填写)5.3. 风险管理(6.1) (ISMS :8.2、8.3 )风险管理过程(如果相关制度请附带提供,管理过程请在附表 1 中填写相
15、关内容,如果没有制度和过程文件,请在这里说明管理方式):风险接受准则:关注的风险点(包括已识别的需要关注的风险,以及对应的防范措施,也可提供风险评估和风险处置相关文件作为附件证明已按规定流程识别和处置了不可接受的风险)编号 风险对象 风险描述 防范措施1)2)ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 93)注 1:评价风险评估过程和方法是否符合要求,风险识别和处理是否全面和突出重点。注 2:评价适用性声明中对附录 A 的删减是否合理(ISMS) 。6. 体系运行情况(7.5、9、10)6.1. 内审实施情况注:内审发现的问题及其改进情况请填写附表 2
16、6.2. 外审不符合与观察项改进情况注:外审不符合与观察项改进情况请填写附表 26.3. 管理评审实施情况注:请详细说明管理评审提出的改进要求及执行情况:6.4. 对标准条款的删减情况及删减合理性(QMS)说明:6.5. 适用性声明的版本和发布日期(ISMS): 适用性声明的删减情况(ISMS):6.6. 体系运行开始时间: 年 月 日。6.7. 体系运行情况记录保持方式和实际保存情况说明:7. 其他需要补充的信息:ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表中国信息安全认证中心 10本人承诺本文件中提供的信息为实际组织管理运行信息,信息真实, 来源可靠。受审核方承诺人签字: 时间: 本人承诺本文件中增加的信息为企业提供,所做评价基于所获得的证据对照认证准则而形成的。审核员签字: 时间:
