工業(yè)和信息化部

政府部門(mén)信息技術(shù)外包服務(wù)機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證安全審查程序（暫 行）
中華人民共和國(guó)工業(yè)和信息化部公告2011年第21號(hào)


一、為加強(qiáng)國(guó)務(wù)院各部委、各直屬機(jī)構(gòu)信息技術(shù)外包服務(wù)的安全管理，保證政府信息和信息系統(tǒng)安全，依據(jù)工業(yè)和信息化部、國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國(guó)人民銀行、國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)、國(guó)家保密局、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)聯(lián)合印發(fā)的《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》（工信部聯(lián)協(xié)〔2010〕394號(hào)），制定本審查程序。
二、本審查程序所稱政府部門(mén)信息技術(shù)外包服務(wù)機(jī)構(gòu)（以下簡(jiǎn)稱服務(wù)機(jī)構(gòu)）,是指國(guó)務(wù)院各部委、各直屬機(jī)構(gòu)以簽訂合同的方式，委托承擔(dān)信息技術(shù)服務(wù)且非本部門(mén)所屬的專業(yè)機(jī)構(gòu)。信息技術(shù)服務(wù)主要包括信息系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)、信息系統(tǒng)集成、監(jiān)理與測(cè)試、運(yùn)行維護(hù)、數(shù)據(jù)處理、數(shù)據(jù)備份與災(zāi)難恢復(fù)、應(yīng)急技術(shù)支持、安全測(cè)評(píng)、信息系統(tǒng)托管等。
三、本審查程序所稱信息安全管理體系認(rèn)證，是指由認(rèn)證機(jī)構(gòu)依據(jù)信息安全管理體系相關(guān)標(biāo)準(zhǔn)和規(guī)范，對(duì)一個(gè)單位信息安全管理水平符合標(biāo)準(zhǔn)情況進(jìn)行的合格評(píng)定活動(dòng)。
四、鼓勵(lì)服務(wù)機(jī)構(gòu)按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)加強(qiáng)信息安全建設(shè)。服務(wù)機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證時(shí)，應(yīng)選擇國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)開(kāi)展信息安全管理體系認(rèn)證的認(rèn)證機(jī)構(gòu)。
五、鼓勵(lì)政府部門(mén)優(yōu)先選用通過(guò)信息安全管理體系認(rèn)證的信息技術(shù)服務(wù)機(jī)構(gòu)提供外包服務(wù)。
六、服務(wù)機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證（含再認(rèn)證）時(shí)，應(yīng)經(jīng)工業(yè)和信息化部安全審查同意。
七、工業(yè)和信息化部負(fù)責(zé)安全審查的管理工作，包括發(fā)布審查程序、制定審查標(biāo)準(zhǔn)、組織開(kāi)展審查、發(fā)布審查結(jié)果等。
八、申請(qǐng)安全審查的服務(wù)機(jī)構(gòu)應(yīng)向工業(yè)和信息化部提交以下材料：
（一）經(jīng)服務(wù)機(jī)構(gòu)法定代表人或其授權(quán)代表簽署的《政府部門(mén)信息技術(shù)外包服務(wù)機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證安全審查申請(qǐng)表》（附表1）。
（二）服務(wù)機(jī)構(gòu)擬提交給信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)證申請(qǐng)材料，包括服務(wù)機(jī)構(gòu)的營(yíng)業(yè)執(zhí)照及組織機(jī)構(gòu)代碼證書(shū)復(fù)印件、機(jī)構(gòu)簡(jiǎn)介、主要業(yè)務(wù)流程、信息安全管理體系相關(guān)程序文件及其清單，以及認(rèn)證機(jī)構(gòu)要求提供的其他材料。
（三）服務(wù)機(jī)構(gòu)擬選定的信息安全管理體系認(rèn)證機(jī)構(gòu)的基本信息，包括認(rèn)證機(jī)構(gòu)名稱、性質(zhì)、資質(zhì)、聯(lián)系方式及機(jī)構(gòu)簡(jiǎn)介等。
（四）服務(wù)機(jī)構(gòu)證明其在申請(qǐng)認(rèn)證、再認(rèn)證及年度復(fù)核過(guò)程中確保不泄露政府重要信息的相關(guān)說(shuō)明材料，包括但不限于擬與認(rèn)證機(jī)構(gòu)簽署的安全保密協(xié)議，對(duì)認(rèn)證活動(dòng)中涉及政府信息的數(shù)據(jù)、文檔、設(shè)備的安全管理措施，以及對(duì)參與認(rèn)證人員的安全管理措施等。
（五）工業(yè)和信息化部要求提供的其他補(bǔ)充材料。
九、工業(yè)和信息化部對(duì)服務(wù)機(jī)構(gòu)提交的申請(qǐng)材料進(jìn)行形式審查，并將是否受理的結(jié)果告知提交申請(qǐng)的服務(wù)機(jī)構(gòu)。
十、工業(yè)和信息化部會(huì)同相關(guān)部門(mén)，組織專家對(duì)受理的申請(qǐng)進(jìn)行實(shí)質(zhì)審查，評(píng)估認(rèn)證活動(dòng)可能帶來(lái)的信息安全風(fēng)險(xiǎn)，并將審查結(jié)果告知提交申請(qǐng)的服務(wù)機(jī)構(gòu)。
十一、經(jīng)審查同意申請(qǐng)并獲得信息安全管理體系認(rèn)證證書(shū)的服務(wù)機(jī)構(gòu)，應(yīng)在獲證后30個(gè)工作日內(nèi)向工業(yè)和信息化部備案。
十二、自本審查程序公告之日起，對(duì)于未經(jīng)工業(yè)和信息化部同意自行申請(qǐng)信息安全管理體系認(rèn)證（含再認(rèn)證），以及在審查過(guò)程中弄虛作假、謊報(bào)申請(qǐng)材料的服務(wù)機(jī)構(gòu)，工業(yè)和信息化部將在一定范圍予以通報(bào)。
十三、本審查程序由工業(yè)和信息化部負(fù)責(zé)解釋。
十四、本審查程序自公告之日起實(shí)施。