一體化認證自評價信息收集表試行.doc

ISCCC-QOT-0510-B/6 一體化認證自評價信息收集表一體化認證自評價信息收集表（試行）填寫說明：1、 請根據(jù)實際情況進行填寫，下列表單中未注明是否為必填項的都需要進行填寫；2、 需要證據(jù)提供的內(nèi)容，可以提供文件、截圖、照片等信息，可直接放在表單中，或者作為附件提供，如果作為附件提供，請將名稱標注為：“附件n（n=1、2、3）：文件名稱”，并與附件名稱保持一致。3、 下表中大部分內(nèi)容都添加了注，可以幫助理解或填寫，請關(guān)注；4、 本表單請與申請書或監(jiān)督審核回執(zhí)一起發(fā)回本中心。項目名稱：項目編號：1. 組織基本信息（4.1、4.3）（具有法律地位的組織，如果認證組織范圍不是具有法律地位的組織，此處填寫其隸屬的具有法律地位的組織）： 組織名稱組織地址（注冊）組織地址（運營）組織人數(shù)人員信息姓名電話手機郵箱法人自愿提供原則自愿提供原則負責人自愿提供原則聯(lián)系人必填組織架構(gòu)及說明（包括組織架構(gòu)圖和部門職責）： 管理體系覆蓋的組織范圍（包括部門和人員數(shù)量）： 管理體系覆蓋的組織范圍內(nèi)刪減說明（包括部門、人員數(shù)量和不覆蓋原因）：管理體系覆蓋的運營地址（如果體系覆蓋的運營活動有多場所、臨時場所和（或）服務(wù)點，請?zhí)顚懜奖?）： 主營業(yè)務(wù)及對信息技術(shù)的依賴程度：業(yè)務(wù)名稱業(yè)務(wù)關(guān)鍵活動主責部門依賴程度高 中 低高 中 低高 中 低注：依賴程度高，相關(guān)信息系統(tǒng)中斷將造成業(yè)務(wù)中斷，無替代活動；依賴程度中，相關(guān)信息系統(tǒng)中斷將造成業(yè)務(wù)的部分活動無法進行，有替代活動；依賴程度低，無信息技術(shù)支持，或者支持的系統(tǒng)中斷對業(yè)務(wù)影響很小，不會造成業(yè)務(wù)中斷。2. 體系建設(shè)相關(guān)部門信息（體系的規(guī)劃、建設(shè)、運行和維護的部門）（4.1）（可以增加部門信息表單的數(shù)量）部門一辦公地址人數(shù)人員信息姓名電話手機郵箱負責人自愿提供原則聯(lián)系人必填部門架構(gòu)和職責（包括架構(gòu)圖、內(nèi)部團隊的職責說明及團隊負責人）：部門二辦公地址人數(shù)人員信息姓名電話手機郵箱負責人自愿提供原則聯(lián)系人必填部門架構(gòu)和職責（包括架構(gòu)圖、內(nèi)部團隊的職責說明及團隊負責人）：部門三辦公地址人數(shù)人員信息姓名電話手機郵箱負責人自愿提供原則聯(lián)系人必填部門架構(gòu)和職責（包括架構(gòu)圖、內(nèi)部團隊的職責說明及團隊負責人）：3. 組織戰(zhàn)略和管理層訴求（4.2、5、6.2）組織總體戰(zhàn)略和業(yè)務(wù)目標（包括組織對自身的定位和業(yè)務(wù)發(fā)展方向）（注：填寫時一定是組織的戰(zhàn)略和業(yè)務(wù)發(fā)展目標,就算是信息技術(shù)部門做體系也要了解整個組織的戰(zhàn)略與業(yè)務(wù)情況,因為標注要求的組織背景分析是全面的,要建立一個體系，建好了其它體系是加入到這個體系而不是分別建立體系的思想）信息技術(shù)應(yīng)用（信息化）戰(zhàn)略定位和方針：（ITSMS必填）與信息技術(shù)應(yīng)用（信息化）戰(zhàn)略相關(guān)的主要任務(wù)和關(guān)鍵指標（年度工作計劃）：（ITSMS必填）安全保障戰(zhàn)略定位和方針：（ISMS必填）與安全保障戰(zhàn)略相關(guān)的主要任務(wù)和關(guān)鍵指標（年度工作計劃）：（ISMS必填）信息技術(shù)支持和安全保障的目標： 管理層的風險偏好：管理層其它訴求（如果有）： （注：管理層往往都有對體系相關(guān)內(nèi)容的期望與要求,這些非常重要,她是體現(xiàn)一個組織體系建設(shè)輸入的主要內(nèi)容）4. 相關(guān)方訴求4.1. 相關(guān)方訴求（4.1、4.2）（組織應(yīng)明確其與管理體系相關(guān)的各方及相關(guān)訴求）注：相關(guān)方的訴求是體系建立的基礎(chǔ),上面只說了管理層的訴求,這里是全面的,至少應(yīng)該包括: 員工、客戶、監(jiān)管（含法律法規(guī)、主管部門等）、股東、社會（含公眾）、供應(yīng)商（含第三方服務(wù)）、競爭對手；這些相關(guān)方實際填寫時要細化，如監(jiān)管可以分為國家法律法規(guī)要求（相關(guān)主體是政府）、具體行業(yè)主管、集團、地方主管、特殊領(lǐng)域監(jiān)管部門等，訴求的描述要盡量具體，如客戶不能簡單滿足合同要求，要明確合同要求的主要內(nèi)容，因為這些是最后要滿足的。類型相關(guān)方訴求優(yōu)先級高 中 低高 中 低高 中 低注：1、相關(guān)方主要是指對信息技術(shù)支持和安全保障能力有影響或被其影響的組織或個人，例如管理層、客戶等，可以考慮組織內(nèi)外的相關(guān)方。2、相關(guān)方的訴求主要為相關(guān)對組織的所有要求和期望，不僅僅為信息技術(shù)支持和安全保障能力相關(guān)的訴求。3、優(yōu)先級根據(jù)相關(guān)方對信息技術(shù)支持和安全保障能力的影響或受到的相關(guān)影響的程度決定，決定相關(guān)方要求考慮的優(yōu)先級，優(yōu)先級分為三級，分別為高、中、低。高：要求必須滿足，或不滿足會產(chǎn)生不可接受的影響；中：要求不是必須滿足，但是如果不滿足對業(yè)務(wù)較大影響低：要求不是必須滿足，但是如果不滿足對業(yè)務(wù)有一定影響。4、相關(guān)方參考：內(nèi)部相關(guān)方：股東、各級管理層、員工。外部相關(guān)方：國家、政府、社區(qū)、監(jiān)管機構(gòu)、上級單位或公司、供應(yīng)商、客戶、用戶、合作伙伴、競爭對手、第三方。4.2. 相關(guān)方溝通（7.4）溝通管理過程（包括制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：相關(guān)方溝通信息注：重點要說明溝通的內(nèi)容，及機制，溝通對象與前面的相關(guān)方一致。溝通對象溝通內(nèi)容溝通方式溝通周期溝通負責部門和人員5. 組織體系建設(shè)與運行能力（特別信息技術(shù)支持和安全保障能力相關(guān)信息）5.1. 資源管理能力（7.1、7.2）5.1.1. 人力資源人力資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：當前人力資源配置情況崗位名稱崗位職責配置人數(shù)上級崗位5.1.2. 財務(wù)資源注：重點在于管理模式，組織整體財力和對體系相關(guān)必要支出的支持財務(wù)管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：每年信息技術(shù)相關(guān)費用（請?zhí)峁┫嚓P(guān)的預(yù)核算信息）（自愿提供原則）：每年信息技術(shù)運行維護費用（自愿提供原則）：每年安全保障費用（自愿提供原則）：5.1.3. 物質(zhì)資源物質(zhì)資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：現(xiàn)有物質(zhì)資源信息（也可用資產(chǎn)清單或滿足以下信息的其他文件等方式證明已收集）資源名稱資源類型資源數(shù)量主責人員注：資源類型主要包括：物理環(huán)境、基礎(chǔ)設(shè)施、監(jiān)視和測量資源、網(wǎng)絡(luò)、系統(tǒng)平臺、應(yīng)用支撐平臺、應(yīng)用 、數(shù)據(jù)、終端 、輔助設(shè)施業(yè)務(wù)信息系統(tǒng)基本信息（也可用資產(chǎn)清單或滿足以下信息的其他文件等方式證明已收集）業(yè)務(wù)信息系統(tǒng)總數(shù)：業(yè)務(wù)類系統(tǒng)名稱功能支持系統(tǒng)平臺相關(guān)業(yè)務(wù)5.1.4. 信息資源注：信息資源主要為組織在業(yè)務(wù)運行和管理過程中需要使用的支持信息。理解信息資源要從理解資源的角度去思考，資源是用來支持一個組織實現(xiàn)其業(yè)務(wù)目標、實現(xiàn)相關(guān)方訴求、管理風險的東西，理解了這一點就不難理解一個組織的信息資源了。具體例子見表格內(nèi)內(nèi)容。關(guān)鍵是對組織業(yè)務(wù)發(fā)展有支持作用的所有有用信息信息資源管理方式（包括信息獲取、使用、保存、處置等方面的制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：主要信息資源（以下只是示例，根據(jù)企業(yè)行業(yè)不同差異較大）表格內(nèi)為示例,僅供參考信息資源名稱用途來源方式1 國家政策信息（如十三.五規(guī)劃、XXX發(fā)展綱要、XXX部門規(guī)劃、XXX文件等）；戰(zhàn)略制定上級來文、網(wǎng)絡(luò)搜索2 組織歷史戰(zhàn)略規(guī)劃及戰(zhàn)略執(zhí)行評審報告；戰(zhàn)略制定歷史記錄3 XXX行業(yè)年度報告；戰(zhàn)略制定上級發(fā)放4 XXX產(chǎn)業(yè)發(fā)展報告；戰(zhàn)略制定購買5 組織SWOT分析報告；戰(zhàn)略制定咨詢服務(wù)6 XXX市場分析報告；策略制定咨詢服務(wù)、自主總結(jié)7 組織年度業(yè)務(wù)目標。策略制定戰(zhàn)略規(guī)劃8 XXX專利產(chǎn)品開發(fā)購買9 XXX專利產(chǎn)品開發(fā)組織研發(fā)成果10 客戶通信計費信息產(chǎn)品開發(fā)組織業(yè)務(wù)運營信息11 客戶征信信息服務(wù)策略制定委托調(diào)查5.1.5. 技術(shù)資源技術(shù)資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：當前的技術(shù)資源信息資源提供中使用的專業(yè)技術(shù)（例如：負載均衡、云技術(shù)等）：技術(shù)名稱功能相關(guān)資源名稱信息技術(shù)支持和安全保障過程中使用的技術(shù)平臺和工具（例如：備份工具 、監(jiān)控平臺等）：技術(shù)平臺和工具名稱功能支持業(yè)務(wù)名稱5.1.6. 政策支持情況（政策為管理過程中設(shè)定的原則和策略）注：一個組織制定一個流程或操作規(guī)程都應(yīng)有一個政策支持，這里的政策包括兩個層面一是國家及行業(yè)主管制定的政策與組織業(yè)務(wù)相關(guān)的要求和有利規(guī)定；如關(guān)于支持綠色能源企業(yè)發(fā)展的決定、關(guān)于加強科技風險防控的要求等，更多的是組織自己為保證業(yè)務(wù)正常有序開展制定的制度，如技術(shù)等級晉升制度、保密制度、資金使用要求等，此項信息將來會進一步細化，包括政策名稱、作用、來源、落實政策所采取的措施等。政策管理方式（包括政策的制定、審批、修訂、發(fā)布等方面的制度和過程，如果有管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：5.1.7. 領(lǐng)導(dǎo)的支持（具體信息在附表1中體現(xiàn)）5.2. 過程管理（7.5）過程管理基本信息（過程的相關(guān)內(nèi)容請在附表1中填寫）5.3. 風險管理（6.1）（ISMS：8.2、8.3 ）風險管理過程（如果相關(guān)制度請附帶提供，管理過程請在附表1中填寫相關(guān)內(nèi)容，如果沒有制度和過程文件，請在這里說明管理方式）：風險接受準則：關(guān)注的風險點（包括已識別的需要關(guān)注的風險，以及對應(yīng)的防范措施，也可提供風險評估和風險處置相關(guān)文件作為附件證明已按規(guī)定流程識別和處置了不可接受的風險）編號風險對象風險描述防范措施1)2)3)注1：評價風險評估過程和方法是否符合要求，風險識別和處理是否全面和突出重點。注2：評價適用性聲明中對附錄A的刪減是否合理（ISMS）。6. 體系運行情況（7.5、9、10）6.1. 內(nèi)審實施情況注：內(nèi)審發(fā)現(xiàn)的問題及其改進情況請?zhí)顚懜奖?6.2. 外審不符合與觀察項改進情況注：外審不符合與觀察項改進情況請?zhí)顚懜奖?6.3. 管理評審實施情況注：請詳細說明管理評審提出的改進要求及執(zhí)行情況：6.4. 對標準條款的刪減情況及刪減合理性（QMS）說明：6.5. 適用性聲明的版本和發(fā)布日期（ISMS）： 適用性聲明的刪減情況（ISMS）：6.6. 體系運行開始時間： 年 月 日。6.7. 體系運行情況記錄保持方式和實際保存情況說明：7. 其他需要補充的信息： 本人承諾本文件中提供的信息為實際組織管理運行信息,信息真實,來源可靠。受審核方承諾人簽字： 時間： 本人承諾本文件中增加的信息為企業(yè)提供，所做評價基于所獲得的證據(jù)對照認證準則而形成的。 審核員簽字： 時間： 附表1：過程管理信息表（這里的關(guān)鍵是過程中的關(guān)鍵活動，一定是組織日常實施的活動，每個過程填寫一個表，請根據(jù)實際過程數(shù)量進行表單的添加）注1：度量項：用來度量過程的執(zhí)行情況和執(zhí)行效果的度量指標；領(lǐng)導(dǎo)支持度：不了解、知道、關(guān)心、指導(dǎo)、參與；注2：資源支持：缺乏、部分提供，基本滿足、充分提供、過量提供.注3：這里的過程包括體系運行過程中涉及到的除記錄模板和記錄外的所有其他體系文件，例如：程序文件、流程、規(guī)范、控制措施文件等。注4：所有管理體系都必須包含的過程有：組織環(huán)境信息管理（包括相關(guān)方及需求識別管理）；戰(zhàn)略管理；資源管理；能力、意識管理；溝通管理；文件管理；風險管理；內(nèi)部審核管理；管理評審；持續(xù)改進；注5：信息安全管理體系還應(yīng)包含的過程有（如有刪減需在6.5中進行說明）：組織安全管理；人力資源安全管理；資產(chǎn)管理；訪問控制；密碼技術(shù)管理；物理環(huán)境安全管理；運行安全；交流安全；信息系統(tǒng)獲取、開發(fā)和維護；供應(yīng)商安全；信息安全事件管理；業(yè)務(wù)連續(xù)性管理中的信息安全；符合性。注6：信息技術(shù)服務(wù)管理體系還應(yīng)包含的過程有：新變更服務(wù)的設(shè)計和轉(zhuǎn)換；服務(wù)級別管理；服務(wù)報告管理；服務(wù)連續(xù)性和可用性管理；服務(wù)預(yù)算與核算；能力管理；信息安全管理；業(yè)務(wù)管理管理；供應(yīng)商管理；事件管理；問題管理；配置管理；變更管理；發(fā)布和部署管理。注7：質(zhì)量管理體系還應(yīng)包含的過程有（如有刪減需在6.4中進行說明）：機遇管理；過程運行環(huán)境；知識管理；運行策劃和控制；產(chǎn)品和服務(wù)的要求；產(chǎn)品和服務(wù)的設(shè)計和開發(fā)；外部提供過程、產(chǎn)品和服務(wù)；生產(chǎn)和服務(wù)提供控制；標識和可追溯性；顧客或外部供方財產(chǎn)；防護；交付后的活動；生產(chǎn)和服務(wù)提供的更改控制；產(chǎn)品和服務(wù)的放行；不合格輸出的控制；顧客滿意、分析與評價等。注8：業(yè)務(wù)連續(xù)性管理體系還應(yīng)包含的過程有：業(yè)務(wù)影響分析；風險評估（適用于BCM）；業(yè)務(wù)連續(xù)性策略；業(yè)務(wù)連續(xù)性程序；演練和測試；業(yè)務(wù)連續(xù)性程序的評價；過程名稱過程編號1目的原則和策略涉及標準要求條款責任人：執(zhí)行團隊/執(zhí)行人：領(lǐng)導(dǎo)支持度：資源支持度：過程關(guān)鍵活動活動要求執(zhí)行情況證據(jù)提供者：提供的證據(jù)：度量項度量結(jié)果平臺工具和（或）應(yīng)用的技術(shù)中國信息安全認證中心 16附表2：內(nèi)審和外審發(fā)現(xiàn)的問題及其改進情況(最近三年)年度類別編號發(fā)現(xiàn)問題描述問題性質(zhì)原因分析改進措施是否完成年度內(nèi)審123外審123年度內(nèi)審123外審123年度內(nèi)審123外審123附表3：注1：多場所類別包括固定場所、臨時場所和服務(wù)點