CCRC-QOT-0510-01-B/7一體化認證自評價信息收集表中國網絡安全審查技術與認證中心一體化認證自評價信息收集表（試行）填寫說明：請根據實際情況進行填寫，下列表單中未注明是否為必填項的都需要進行填寫；需要證據提供的內容，可以提供文件、截圖、照片等信息，可直接放在表單中，或者作為附件提供，如果作為附件提供，請將名稱標注為：“附件n（n=1、2、3……）：文件名稱”，并與附件名稱保持一致。下表中大部分內容都添加了注，可以幫助理解或填寫，請關注；本表單請與申請書或監督審核回執一起發回本中心。組織基本信息（4.1、4.3）（具有法律地位的組織，如果認證組織范圍不是具有法律地位的組織，此處填寫其隸屬的具有法律地位的組織）：組織名稱組織地址（注冊）組織地址（運營）組織人數人員信息姓名電話手機郵箱法人自愿提供原則自愿提供原則負責人自愿提供原則聯系人必填組織架構及說明（包括組織架構圖和部門職責）：管理體系覆蓋的組織范圍（包括部門和人員數量）：管理體系覆蓋的組織范圍內刪減說明（包括部門、人員數量和不覆蓋原因）：管理體系覆蓋的運營地址（如果體系覆蓋的運營活動有多場所、臨時場所和（或）服務點，請填寫附表3）：主營業務及對信息技術的依賴程度：業務名稱業務關鍵活動主責部門依賴程度□高□中□低□高□中□低□高□中□低注：依賴程度高，相關信息系統中斷將造成業務中斷，無替代活動；依賴程度中，相關信息系統中斷將造成業務的部分活動無法進行，有替代活動；依賴程度低，無信息技術支持，或者支持的系統中斷對業務影響很小，不會造成業務中斷。體系建設相關部門信息（體系的規劃、建設、運行和維護的部門）（4.1）（可以增加部門信息表單的數量）部門一辦公地址人數人員信息姓名電話手機郵箱負責人自愿提供原則聯系人必填部門架構和職責（包括架構圖、內部團隊的職責說明及團隊負責人）：部門二辦公地址人數人員信息姓名電話手機郵箱負責人自愿提供原則聯系人必填部門架構和職責（包括架構圖、內部團隊的職責說明及團隊負責人）：部門三辦公地址人數人員信息姓名電話手機郵箱負責人自愿提供原則聯系人必填部門架構和職責（包括架構圖、內部團隊的職責說明及團隊負責人）：組織戰略和管理層訴求（4.2、5、6.2）組織總體戰略和業務目標（包括組織對自身的定位和業務發展方向）（注：填寫時一定是組織的戰略和業務發展目標,就算是信息技術部門做體系也要了解整個組織的戰略與業務情況,因為標注要求的組織背景分析是全面的,要建立一個體系，建好了其它體系是加入到這個體系而不是分別建立體系的思想）信息技術應用（信息化）戰略定位和方針：（ITSMS必填）與信息技術應用（信息化）戰略相關的主要任務和關鍵指標（年度工作計劃）：（ITSMS必填）安全保障戰略定位和方針：（ISMS必填）與安全保障戰略相關的主要任務和關鍵指標（年度工作計劃）：（ISMS必填）信息技術支持和安全保障的目標：管理層的風險偏好：管理層其它訴求（如果有）：（注：管理層往往都有對體系相關內容的期望與要求,這些非常重要,她是體現一個組織體系建設輸入的主要內容）相關方訴求相關方訴求（4.1、4.2）（組織應明確其與管理體系相關的各方及相關訴求）注：相關方的訴求是體系建立的基礎,上面只說了管理層的訴求,這里是全面的,至少應該包括:員工、客戶、監管（含法律法規、主管部門等）、股東、社會（含公眾）、供應商（含第三方服務）、競爭對手；這些相關方實際填寫時要細化，如監管可以分為國家法律法規要求（相關主體是政府）、具體行業主管、集團、地方主管、特殊領域監管部門等，訴求的描述要盡量具體，如客戶不能簡單滿足合同要求，要明確合同要求的主要內容，因為這些是最后要滿足的。類型相關方訴求優先級□高□中□低□高□中□低□高□中□低注：1、相關方主要是指對信息技術支持和安全保障能力有影響或被其影響的組織或個人，例如管理層、客戶等，可以考慮組織內外的相關方。2、相關方的訴求主要為相關對組織的所有要求和期望，不僅僅為信息技術支持和安全保障能力相關的訴求。3、優先級根據相關方對信息技術支持和安全保障能力的影響或受到的相關影響的程度決定，決定相關方要求考慮的優先級，優先級分為三級，分別為高、中、低。高：要求必須滿足，或不滿足會產生不可接受的影響；中：要求不是必須滿足，但是如果不滿足對業務較大影響低：要求不是必須滿足，但是如果不滿足對業務有一定影響。4、相關方參考：內部相關方：股東、各級管理層、員工。外部相關方：國家、政府、社區、監管機構、上級單位或公司、供應商、客戶、用戶、合作伙伴、競爭對手、第三方。相關方溝通（7.4）溝通管理過程（包括制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：相關方溝通信息注：重點要說明溝通的內容，及機制，溝通對象與前面的相關方一致。溝通對象溝通內容溝通方式溝通周期溝通負責部門和人員組織體系建設與運行能力（特別信息技術支持和安全保障能力相關信息）資源管理能力（7.1、7.2）人力資源人力資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：當前人力資源配置情況崗位名稱崗位職責配置人數上級崗位財務資源注：重點在于管理模式，組織整體財力和對體系相關必要支出的支持財務管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：每年信息技術相關費用（請提供相關的預核算信息）（自愿提供原則）：每年信息技術運行維護費用（自愿提供原則）：每年安全保障費用（自愿提供原則）：物質資源物質資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：現有物質資源信息（也可用資產清單或滿足以下信息的其他文件等方式證明已收集）資源名稱資源類型資源數量主責人員注：資源類型主要包括：物理環境、基礎設施、監視和測量資源、網絡、系統平臺、應用支撐平臺、應用、數據、終端、輔助設施業務信息系統基本信息（也可用資產清單或滿足以下信息的其他文件等方式證明已收集）業務信息系統總數：業務類系統名稱功能支持系統平臺相關業務信息資源注：信息資源主要為組織在業務運行和管理過程中需要使用的支持信息。理解信息資源要從理解資源的角度去思考，資源是用來支持一個組織實現其業務目標、實現相關方訴求、管理風險的東西，理解了這一點就不難理解一個組織的信息資源了。具體例子見表格內內容。關鍵是對組織業務發展有支持作用的所有有用信息信息資源管理方式（包括信息獲取、使用、保存、處置等方面的制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：主要信息資源（以下只是示例，根據企業行業不同差異較大）表格內為示例,僅供參考信息資源名稱用途來源方式國家政策信息（如十三.五規劃、XXX發展綱要、XXX部門規劃、XXX文件等）；戰略制定上級來文、網絡搜索組織歷史戰略規劃及戰略執行評審報告；戰略制定歷史記錄XXX行業年度報告；戰略制定上級發放XXX產業發展報告；戰略制定購買組織SWOT分析報告；戰略制定咨詢服務XXX市場分析報告；策略制定咨詢服務、自主總結組織年度業務目標。策略制定戰略規劃XXX專利產品開發購買XXX專利產品開發組織研發成果客戶通信計費信息產品開發組織業務運營信息客戶征信信息服務策略制定委托調查XXX服務XXX個人信息產品或服務運營信息調查、采集XXX服務XXX個人敏感信息產品或服務運營信息調查、采集技術資源技術資源管理方式（包括制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：當前的技術資源信息資源提供中使用的專業技術（例如：負載均衡、云技術等）：技術名稱功能相關資源名稱信息技術支持和安全保障過程中使用的技術平臺和工具（例如：備份工具、監控平臺等）：技術平臺和工具名稱功能支持業務名稱政策支持情況（政策為管理過程中設定的原則和策略）注：一個組織制定一個流程或操作規程都應有一個政策支持，這里的政策包括兩個層面一是國家及行業主管制定的政策與組織業務相關的要求和有利規定；如《關于支持綠色能源企業發展的決定》、《關于加強科技風險防控的要求》等，更多的是組織自己為保證業務正常有序開展制定的制度，如《技術等級晉升制度》、《保密制度》、《資金使用要求》等，此項信息將來會進一步細化，包括政策名稱、作用、來源、落實政策所采取的措施等。政策管理方式（包括政策的制定、審批、修訂、發布等方面的制度和過程，如果有管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：領導的支持（具體信息在附表1中體現）過程管理（7.5）過程管理基本信息（過程的相關內容請在附表1中填寫）風險管理（6.1）（ISMS：8.2、8.3）風險管理過程（如果相關制度請附帶提供，管理過程請在附表1中填寫相關內容，如果沒有制度和過程文件，請在這里說明管理方式）：風險接受準則：關注的風險點（包括已識別的需要關注的風險，以及對應的防范措施，也可提供風險評估和風險處置相關文件作為附件證明已按規定流程識別和處置了不可接受的風險）編號風險對象風險描述防范措施注1：評價風險評估過程和方法是否符合要求，風險識別和處理是否全面和突出重點。注2：評價適用性聲明中對附錄A的刪減是否合理（ISMS）。體系運行情況（7.5、9、10）內審實施情況注：內審發現的問題及其改進情況請填寫附表2外審不符合與觀察項改進情況注：外審不符合與觀察項改進情況請填寫附表2管理評審實施情況注：請詳細說明管理評審提出的改進要求及執行情況：對標準條款的刪減情況及刪減合理性（QMS）說明：適用性聲明的版本和發布日期（ISMS）：適用性聲明的刪減情況（ISMS）：體系運行開始時間：年月日。體系運行情況記錄保持方式和實際保存情況說明：其他需要補充的信息：本人承諾本文件中提供的信息為實際組織管理運行信息,信息真實,來源可靠。受審核方承諾人簽字：時間：本人承諾本文件中增加的信息為企業提供，所做評價基于所獲得的證據對照認證準則而形成的。審核員簽字：時間：

附表1：過程管理信息表（這里的關鍵是過程中的關鍵活動，一定是組織日常實施的活動，每個過程填寫一個表，請根據實際過程數量進行表單的添加）注1：度量項：用來度量過程的執行情況和執行效果的度量指標；領導支持度：不了解、知道、關心、指導、參與；注2：資源支持：缺乏、部分提供，基本滿足、充分提供、過量提供.注3：這里的過程包括體系運行過程中涉及到的除記錄模板和記錄外的所有其他體系文件，例如：程序文件、流程、規范、控制措施文件等。注4：所有管理體系都必須包含的過程有：組織環境信息管理（包括相關方及需求識別管理）；戰略管理；資源管理；能力、意識管理；溝通管理；文件管理；風險管理；內部審核管理；管理評審；持續改進；注5：信息安全管理體系還應包含的過程有（如有刪減需在6.5中進行說明）：組織安全管理；人力資源安全管理；資產管理；訪問控制；密碼技術管理；物理環境安全管理；運行安全；交流安全；信息系統獲取、開發和維護；供應商安全；信息安全事件管理；業務連續性管理中的信息安全；符合性。注6：信息技術服務管理體系還應包含的過程有：新變更服務的設計和轉換；服務級別管理；服務報告管理；服務連續性和可用性管理；服務預算與核算；能力管理；信息安全管理；業務管理管理；供應商管理；事件管理；問題管理；配置管理；變更管理；發布和部署管理。注7：質量管理體系還應包含的過程有（如有刪減需在6.4中進行說明）：機遇管理；過程運行環境；知識管理；運行策劃和控制（需涵蓋申請的各業務范圍）；產品和服務的要求；產品和服務的設計和開發（需涵蓋申請的各業務范圍）；外部提供過程、產品和服務（包括外包）；生產和服務提供控制（需涵蓋申請的各業務范圍，包括流程圖、控制點、需確認的過程等）；標識和可追溯性；顧客或外部供方財產；防護；交付后的活動；生產和服務提供的更改控制；產品和服務的放行（需涵蓋申請的各業務范圍，包括驗收規范等）；不合格輸出的控制；顧客滿意、分析與評價等。注8：業務連續性管理體系還應包含的過程有：業務影響分析；風險評估