中華人民共和國工業和信息化部公告
2011年第21號
為加強國務院各部委、各直屬機構信息技術外包服務的安全管理,保證政府信息和信息系統安全,根據國家有關政策要求,我部制定了《政府部門信息技術外包服務機構申請信息安全管理體系認證安全審查程序》(暫行),現予以公告。
附件:政府部門信息技術外包服務機構申請信息安全管理體系認證安全審查程序(暫行)
二Ο一一年七月二十日
(聯絡單位及電話:工業和信息化部信息安全協調司 010-68205959)
政府部門信息技術外包服務機構
申請信息安全管理體系認證安全審查程序
(暫 行)
一、為加強國務院各部委、各直屬機構信息技術外包服務的安全管理,保證政府信息和信息系統安全,依據工業和信息化部、國家質量監督檢驗檢疫總局、中國人民銀行、國務院國有資産監督管理委員會、國家保密局、國家認證認可監督管理委員會聯合印發的《關於加強信息安全管理體系認證安全管理的通知》(工信部聯協〔2010〕394號),制定本審查程序。
二、本審查程序所稱政府部門信息技術外包服務機構(以下簡稱服務機構),是指國務院各部委、各直屬機構以簽訂合同的方式,委託承擔信息技術服務且非本部門所屬的專業機構。信息技術服務主要包括信息系統設計與開發、信息系統集成、監理與測試、運行維護、數據處理、數據備份與災難恢復、應急技術支持、安全測評、信息系統託管等。
三、本審查程序所稱信息安全管理體系認證,是指由認證機構依據信息安全管理體系相關標準和規範,對一個單位信息安全管理水平符合標準情況進行的合格評定活動。
四、鼓勵服務機構按照信息安全管理體系相關標準加強信息安全建設。服務機構申請信息安全管理體系認證時,應選擇國家認證認可監督管理委員會批准開展信息安全管理體系認證的認證機構。
五、鼓勵政府部門優先選用通過信息安全管理體系認證的信息技術服務機構提供外包服務。
六、服務機構申請信息安全管理體系認證(含再認證)時,應經工業和信息化部安全審查同意。
七、工業和信息化部負責安全審查的管理工作,包括發佈審查程序、制定審查標準、組織開展審查、發佈審查結果等。
八、申請安全審查的服務機構應向工業和信息化部提交以下材料:
(一)經服務機構法定代表人或其授權代表簽署的《政府部門信息技術外包服務機構申請信息安全管理體系認證安全審查申請表》(附表1)。
(二)服務機構擬提交給信息安全管理體系認證機構的認證申請材料,包括服務機構的營業執照及組織機構代碼證書複印件、機構簡介、主要業務流程、信息安全管理體系相關程序文件及其清單,以及認證機構要求提供的其他材料。
(三)服務機構擬選定的信息安全管理體系認證機構的基本信息,包括認證機構名稱、性質、資質、聯絡方式及機構簡介等。
(四)服務機構證明其在申請認證、再認證及年度復核過程中確保不洩露政府重要信息的相關説明材料,包括但不限于擬與認證機構簽署的安全保密協議,對認證活動中涉及政府信息的數據、文檔、設備的安全管理措施,以及對參與認證人員的安全管理措施等。
(五)工業和信息化部要求提供的其他補充材料。
九、工業和信息化部對服務機構提交的申請材料進行形式審查,並將是否受理的結果告知提交申請的服務機構。
十、工業和信息化部會同相關部門,組織專家對受理的申請進行實質審查,評估認證活動可能帶來的信息安全風險,並將審查結果告知提交申請的服務機構。
十一、經審查同意申請並獲得信息安全管理體系認證證書的服務機構,應在獲證後30個工作日內向工業和信息化部備案。
十二、自本審查程序公告之日起,對於未經工業和信息化部同意自行申請信息安全管理體系認證(含再認證),以及在審查過程中弄虛作假、謊報申請材料的服務機構,工業和信息化部將在一定範圍予以通報。
十三、本審查程序由工業和信息化部負責解釋。
十四、本審查程序自公告之日起實施。