中華人民共和國工業(yè)和信息化部公告

2011年第21號

  為加強國務(wù)院各部委、各直屬機構(gòu)信息技術(shù)外包服務(wù)的安全管理,保證政府信息和信息系統(tǒng)安全,根據(jù)國家有關(guān)政策要求,我部制定了《政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認證安全審查程序》(暫行),現(xiàn)予以公告。

  二Ο一一年七月二十日

 ?。?lián)系單位及電話:工業(yè)和信息化部信息安全協(xié)調(diào)司010-68205959)

政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認證安全審查程序(暫行)

  為加強國務(wù)院各部委、各直屬機構(gòu)信息技術(shù)外包服務(wù)的安全管理,保證政府信息和信息系統(tǒng)安全,依據(jù)工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗檢疫總局、中國人民銀行、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家保密局、國家認證認可監(jiān)督管理委員會聯(lián)合印發(fā)的《關(guān)于加強信息安全管理體系認證安全管理的通知》(工信部聯(lián)協(xié)〔2010〕394號),制定本審查程序。

  本審查程序所稱政府部門信息技術(shù)外包服務(wù)機構(gòu)(以下簡稱服務(wù)機構(gòu)),是指國務(wù)院各部委、各直屬機構(gòu)以簽訂合同的方式,委托承擔信息技術(shù)服務(wù)且非本部門所屬的專業(yè)機構(gòu)。信息技術(shù)服務(wù)主要包括信息系統(tǒng)設(shè)計與開發(fā)、信息系統(tǒng)集成、監(jiān)理與測試、運行維護、數(shù)據(jù)處理、數(shù)據(jù)備份與災難恢復、應急技術(shù)支持、安全測評、信息系統(tǒng)托管等。

  三、本審查程序所稱信息安全管理體系認證,是指由認證機構(gòu)依據(jù)信息安全管理體系相關(guān)標準和規(guī)范,對一個單位信息安全管理水平符合標準情況進行的合格評定活動。

  四、鼓勵服務(wù)機構(gòu)按照信息安全管理體系相關(guān)標準加強信息安全建設(shè)。服務(wù)機構(gòu)申請信息安全管理體系認證時,應選擇國家認證認可監(jiān)督管理委員會批準開展信息安全管理體系認證的認證機構(gòu)。

  五、鼓勵政府部門優(yōu)先選用通過信息安全管理體系認證的信息技術(shù)服務(wù)機構(gòu)提供外包服務(wù)。

  六、服務(wù)機構(gòu)申請信息安全管理體系認證(含再認證)時,應經(jīng)工業(yè)和信息化部安全審查同意。

  七、工業(yè)和信息化部負責安全審查的管理工作,包括發(fā)布審查程序、制定審查標準、組織開展審查、發(fā)布審查結(jié)果等。

  八、申請安全審查的服務(wù)機構(gòu)應向工業(yè)和信息化部提交以下材料:

 ?。ㄒ唬┙?jīng)服務(wù)機構(gòu)法定代表人或其授權(quán)代表簽署的《政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認證安全審查申請表》。

 ?。ǘ┓?wù)機構(gòu)擬提交給信息安全管理體系認證機構(gòu)的認證申請材料,包括服務(wù)機構(gòu)的營業(yè)執(zhí)照及組織機構(gòu)代碼證書復印件、機構(gòu)簡介、主要業(yè)務(wù)流程、信息安全管理體系相關(guān)程序文件及其清單,以及認證機構(gòu)要求提供的其他材料。

 ?。ㄈ┓?wù)機構(gòu)擬選定的信息安全管理體系認證機構(gòu)的基本信息,包括認證機構(gòu)名稱、性質(zhì)、資質(zhì)、聯(lián)系方式及機構(gòu)簡介等。

  (四)服務(wù)機構(gòu)證明其在申請認證、再認證及年度復核過程中確保不泄露政府重要信息的相關(guān)說明材料,包括但不限于擬與認證機構(gòu)簽署的安全保密協(xié)議,對認證活動中涉及政府信息的數(shù)據(jù)、文檔、設(shè)備的安全管理措施,以及對參與認證人員的安全管理措施等。

  (五)工業(yè)和信息化部要求提供的其他補充材料。

  九、工業(yè)和信息化部對服務(wù)機構(gòu)提交的申請材料進行形式審查,并將是否受理的結(jié)果告知提交申請的服務(wù)機構(gòu)。

  十、工業(yè)和信息化部會同相關(guān)部門,組織專家對受理的申請進行實質(zhì)審查,評估認證活動可能帶來的信息安全風險,并將審查結(jié)果告知提交申請的服務(wù)機構(gòu)。

  十一、經(jīng)審查同意申請并獲得信息安全管理體系認證證書的服務(wù)機構(gòu),應在獲證后30個工作日內(nèi)向工業(yè)和信息化部備案。

  十二、自本審查程序公告之日起,對于未經(jīng)工業(yè)和信息化部同意自行申請信息安全管理體系認證(含再認證),以及在審查過程中弄虛作假、謊報申請材料的服務(wù)機構(gòu),工業(yè)和信息化部將在一定范圍予以通報。

  十三、本審查程序由工業(yè)和信息化部負責解釋。

  十四、本審查程序自公告之日起實施。

責任編輯:admin