一体化认证自评价信息收集表试行.doc

ISCCC-QOT-0510-B/6 一体化认证自评价信息收集表一体化认证自评价信息收集表（试行）填写说明：1、 请根据实际情况进行填写，下列表单中未注明是否为必填项的都需要进行填写；2、 需要证据提供的内容，可以提供文件、截图、照片等信息，可直接放在表单中，或者作为附件提供，如果作为附件提供，请将名称标注为：“附件n（n=1、2、3）：文件名称”，并与附件名称保持一致。3、 下表中大部分内容都添加了注，可以帮助理解或填写，请关注；4、 本表单请与申请书或监督审核回执一起发回本中心。项目名称：项目编号：1. 组织基本信息（4.1、4.3）（具有法律地位的组织，如果认证组织范围不是具有法律地位的组织，此处填写其隶属的具有法律地位的组织）： 组织名称组织地址（注册）组织地址（运营）组织人数人员信息姓名电话手机邮箱法人自愿提供原则自愿提供原则负责人自愿提供原则联系人必填组织架构及说明（包括组织架构图和部门职责）： 管理体系覆盖的组织范围（包括部门和人员数量）： 管理体系覆盖的组织范围内删减说明（包括部门、人员数量和不覆盖原因）：管理体系覆盖的运营地址（如果体系覆盖的运营活动有多场所、临时场所和（或）服务点，请填写附表3）： 主营业务及对信息技术的依赖程度：业务名称业务关键活动主责部门依赖程度高 中 低高 中 低高 中 低注：依赖程度高，相关信息系统中断将造成业务中断，无替代活动；依赖程度中，相关信息系统中断将造成业务的部分活动无法进行，有替代活动；依赖程度低，无信息技术支持，或者支持的系统中断对业务影响很小，不会造成业务中断。2. 体系建设相关部门信息（体系的规划、建设、运行和维护的部门）（4.1）（可以增加部门信息表单的数量）部门一办公地址人数人员信息姓名电话手机邮箱负责人自愿提供原则联系人必填部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）：部门二办公地址人数人员信息姓名电话手机邮箱负责人自愿提供原则联系人必填部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）：部门三办公地址人数人员信息姓名电话手机邮箱负责人自愿提供原则联系人必填部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）：3. 组织战略和管理层诉求（4.2、5、6.2）组织总体战略和业务目标（包括组织对自身的定位和业务发展方向）（注：填写时一定是组织的战略和业务发展目标,就算是信息技术部门做体系也要了解整个组织的战略与业务情况,因为标注要求的组织背景分析是全面的,要建立一个体系，建好了其它体系是加入到这个体系而不是分别建立体系的思想）信息技术应用（信息化）战略定位和方针：（ITSMS必填）与信息技术应用（信息化）战略相关的主要任务和关键指标（年度工作计划）：（ITSMS必填）安全保障战略定位和方针：（ISMS必填）与安全保障战略相关的主要任务和关键指标（年度工作计划）：（ISMS必填）信息技术支持和安全保障的目标： 管理层的风险偏好：管理层其它诉求（如果有）： （注：管理层往往都有对体系相关内容的期望与要求,这些非常重要,她是体现一个组织体系建设输入的主要内容）4. 相关方诉求4.1. 相关方诉求（4.1、4.2）（组织应明确其与管理体系相关的各方及相关诉求）注：相关方的诉求是体系建立的基础,上面只说了管理层的诉求,这里是全面的,至少应该包括: 员工、客户、监管（含法律法规、主管部门等）、股东、社会（含公众）、供应商（含第三方服务）、竞争对手；这些相关方实际填写时要细化，如监管可以分为国家法律法规要求（相关主体是政府）、具体行业主管、集团、地方主管、特殊领域监管部门等，诉求的描述要尽量具体，如客户不能简单满足合同要求，要明确合同要求的主要内容，因为这些是最后要满足的。类型相关方诉求优先级高 中 低高 中 低高 中 低注：1、相关方主要是指对信息技术支持和安全保障能力有影响或被其影响的组织或个人，例如管理层、客户等，可以考虑组织内外的相关方。2、相关方的诉求主要为相关对组织的所有要求和期望，不仅仅为信息技术支持和安全保障能力相关的诉求。3、优先级根据相关方对信息技术支持和安全保障能力的影响或受到的相关影响的程度决定，决定相关方要求考虑的优先级，优先级分为三级，分别为高、中、低。高：要求必须满足，或不满足会产生不可接受的影响；中：要求不是必须满足，但是如果不满足对业务较大影响低：要求不是必须满足，但是如果不满足对业务有一定影响。4、相关方参考：内部相关方：股东、各级管理层、员工。外部相关方：国家、政府、社区、监管机构、上级单位或公司、供应商、客户、用户、合作伙伴、竞争对手、第三方。4.2. 相关方沟通（7.4）沟通管理过程（包括制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：相关方沟通信息注：重点要说明沟通的内容，及机制，沟通对象与前面的相关方一致。沟通对象沟通内容沟通方式沟通周期沟通负责部门和人员5. 组织体系建设与运行能力（特别信息技术支持和安全保障能力相关信息）5.1. 资源管理能力（7.1、7.2）5.1.1. 人力资源人力资源管理方式（包括制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：当前人力资源配置情况岗位名称岗位职责配置人数上级岗位5.1.2. 财务资源注：重点在于管理模式，组织整体财力和对体系相关必要支出的支持财务管理方式（包括制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：每年信息技术相关费用（请提供相关的预核算信息）（自愿提供原则）：每年信息技术运行维护费用（自愿提供原则）：每年安全保障费用（自愿提供原则）：5.1.3. 物质资源物质资源管理方式（包括制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：现有物质资源信息（也可用资产清单或满足以下信息的其他文件等方式证明已收集）资源名称资源类型资源数量主责人员注：资源类型主要包括：物理环境、基础设施、监视和测量资源、网络、系统平台、应用支撑平台、应用 、数据、终端 、辅助设施业务信息系统基本信息（也可用资产清单或满足以下信息的其他文件等方式证明已收集）业务信息系统总数：业务类系统名称功能支持系统平台相关业务5.1.4. 信息资源注：信息资源主要为组织在业务运行和管理过程中需要使用的支持信息。理解信息资源要从理解资源的角度去思考，资源是用来支持一个组织实现其业务目标、实现相关方诉求、管理风险的东西，理解了这一点就不难理解一个组织的信息资源了。具体例子见表格内内容。关键是对组织业务发展有支持作用的所有有用信息信息资源管理方式（包括信息获取、使用、保存、处置等方面的制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：主要信息资源（以下只是示例，根据企业行业不同差异较大）表格内为示例,仅供参考信息资源名称用途来源方式1 国家政策信息（如十三.五规划、XXX发展纲要、XXX部门规划、XXX文件等）；战略制定上级来文、网络搜索2 组织历史战略规划及战略执行评审报告；战略制定历史记录3 XXX行业年度报告；战略制定上级发放4 XXX产业发展报告；战略制定购买5 组织SWOT分析报告；战略制定咨询服务6 XXX市场分析报告；策略制定咨询服务、自主总结7 组织年度业务目标。策略制定战略规划8 XXX专利产品开发购买9 XXX专利产品开发组织研发成果10 客户通信计费信息产品开发组织业务运营信息11 客户征信信息服务策略制定委托调查5.1.5. 技术资源技术资源管理方式（包括制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：当前的技术资源信息资源提供中使用的专业技术（例如：负载均衡、云技术等）：技术名称功能相关资源名称信息技术支持和安全保障过程中使用的技术平台和工具（例如：备份工具 、监控平台等）：技术平台和工具名称功能支持业务名称5.1.6. 政策支持情况（政策为管理过程中设定的原则和策略）注：一个组织制定一个流程或操作规程都应有一个政策支持，这里的政策包括两个层面一是国家及行业主管制定的政策与组织业务相关的要求和有利规定；如关于支持绿色能源企业发展的决定、关于加强科技风险防控的要求等，更多的是组织自己为保证业务正常有序开展制定的制度，如技术等级晋升制度、保密制度、资金使用要求等，此项信息将来会进一步细化，包括政策名称、作用、来源、落实政策所采取的措施等。政策管理方式（包括政策的制定、审批、修订、发布等方面的制度和过程，如果有管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：5.1.7. 领导的支持（具体信息在附表1中体现）5.2. 过程管理（7.5）过程管理基本信息（过程的相关内容请在附表1中填写）5.3. 风险管理（6.1）（ISMS：8.2、8.3 ）风险管理过程（如果相关制度请附带提供，管理过程请在附表1中填写相关内容，如果没有制度和过程文件，请在这里说明管理方式）：风险接受准则：关注的风险点（包括已识别的需要关注的风险，以及对应的防范措施，也可提供风险评估和风险处置相关文件作为附件证明已按规定流程识别和处置了不可接受的风险）编号风险对象风险描述防范措施1)2)3)注1：评价风险评估过程和方法是否符合要求，风险识别和处理是否全面和突出重点。注2：评价适用性声明中对附录A的删减是否合理（ISMS）。6. 体系运行情况（7.5、9、10）6.1. 内审实施情况注：内审发现的问题及其改进情况请填写附表26.2. 外审不符合与观察项改进情况注：外审不符合与观察项改进情况请填写附表26.3. 管理评审实施情况注：请详细说明管理评审提出的改进要求及执行情况：6.4. 对标准条款的删减情况及删减合理性（QMS）说明：6.5. 适用性声明的版本和发布日期（ISMS）： 适用性声明的删减情况（ISMS）：6.6. 体系运行开始时间： 年 月 日。6.7. 体系运行情况记录保持方式和实际保存情况说明：7. 其他需要补充的信息： 本人承诺本文件中提供的信息为实际组织管理运行信息,信息真实,来源可靠。受审核方承诺人签字： 时间： 本人承诺本文件中增加的信息为企业提供，所做评价基于所获得的证据对照认证准则而形成的。 审核员签字： 时间： 附表1：过程管理信息表（这里的关键是过程中的关键活动，一定是组织日常实施的活动，每个过程填写一个表，请根据实际过程数量进行表单的添加）注1：度量项：用来度量过程的执行情况和执行效果的度量指标；领导支持度：不了解、知道、关心、指导、参与；注2：资源支持：缺乏、部分提供，基本满足、充分提供、过量提供.注3：这里的过程包括体系运行过程中涉及到的除记录模板和记录外的所有其他体系文件，例如：程序文件、流程、规范、控制措施文件等。注4：所有管理体系都必须包含的过程有：组织环境信息管理（包括相关方及需求识别管理）；战略管理；资源管理；能力、意识管理；沟通管理；文件管理；风险管理；内部审核管理；管理评审；持续改进；注5：信息安全管理体系还应包含的过程有（如有删减需在6.5中进行说明）：组织安全管理；人力资源安全管理；资产管理；访问控制；密码技术管理；物理环境安全管理；运行安全；交流安全；信息系统获取、开发和维护；供应商安全；信息安全事件管理；业务连续性管理中的信息安全；符合性。注6：信息技术服务管理体系还应包含的过程有：新变更服务的设计和转换；服务级别管理；服务报告管理；服务连续性和可用性管理；服务预算与核算；能力管理；信息安全管理；业务管理管理；供应商管理；事件管理；问题管理；配置管理；变更管理；发布和部署管理。注7：质量管理体系还应包含的过程有（如有删减需在6.4中进行说明）：机遇管理；过程运行环境；知识管理；运行策划和控制；产品和服务的要求；产品和服务的设计和开发；外部提供过程、产品和服务；生产和服务提供控制；标识和可追溯性；顾客或外部供方财产；防护；交付后的活动；生产和服务提供的更改控制；产品和服务的放行；不合格输出的控制；顾客满意、分析与评价等。注8：业务连续性管理体系还应包含的过程有：业务影响分析；风险评估（适用于BCM）；业务连续性策略；业务连续性程序；演练和测试；业务连续性程序的评价；过程名称过程编号1目的原则和策略涉及标准要求条款责任人：执行团队/执行人：领导支持度：资源支持度：过程关键活动活动要求执行情况证据提供者：提供的证据：度量项度量结果平台工具和（或）应用的技术中国信息安全认证中心 16附表2：内审和外审发现的问题及其改进情况(最近三年)年度类别编号发现问题描述问题性质原因分析改进措施是否完成年度内审123外审123年度内审123外审123年度内审123外审123附表3：注1：多场所类别包括固定场所、临时场所和服务点