体系认证
延伸服务
信息安全申请书与调查表
中质协质量保证中心
管理体系认证申请书与调查表
Application Form and Questionnaire for Management System Certification
申请单位: .
项目编号: .
申请方基本信息
组织名称 | |||||||||||
组织性质 | 公告邮箱 | ||||||||||
法人代表 | 注册资本/ 币种 | 统一社会 信用代码 | |||||||||
注册地址 | 邮政编码 | ||||||||||
通信地址 | 邮政编码 | ||||||||||
注册地址的 地区代码 | 省 市 区/县(与注册地址可能有区别,填写时,请参考编码表) | ||||||||||
审核场所是否唯一: £ 是 审核地址: £ 否 请提供《管理体系认证范围内场所清单及抽样计划》(合同附页)。 若需子证书,请复制此表,每个子证书涉及的组织(独立法人)也需填写并提交此表。 | |||||||||||
是否需英文证书 £ 是 请提供组织名称、注册地址、认证范围的英文稿(如存在子证书,也需提供英文信息) £ 否 | |||||||||||
体系负责人 (多体系申请若各体系负责人不同请分别填写) | 姓名 | 部门、职务 | 电话 | 手机 | 电子邮箱 | ||||||
联系人 (不同体系若不同请分别填写) | 姓名 | 部门、职务 | 电话/传真 | 手机 | 电子邮箱 | ||||||
行业资质/许可b | |||||||||||
总人数: 人 | |||||||||||
母公司或上级机关名称(如有): | |||||||||||
作息时间 | £上午 £下午 | 休息日: | 可否占用 休息日审核 | £ 可以 £ 不可以 | |||||||
中质协质量保证中心郑重承诺对申请方在本申请书所提供的一切信息均保守秘密。
组织性质分类 (供填写组织性质时参考,提交资料时不需提交此页)
政府机关 | 有限责任公司 | 合作经营企业(港或澳、台资) |
事业单位 | 股份有限公司 | 港、澳、台商独资经营企业 |
社会团体 | 私营企业 | 港、澳、台商投资股份有限公司 |
企业组织 | 全民所有制企业 | 外商投资企业 |
内资企业 | 合伙企业 | 中外合资经营企业 |
国有企业 | 个人独资企业 | 中外合作经营企业 |
集体所有制企业 | 其他企业 | 外资企业 |
股份合作企业 | 港、澳、台商投资企业 | 外商投资股份有限公司 |
联营企业 | 合资经营企业(港或澳、台资) | 其他组织 |
备注:
行业资质/许可 适用时请填写与拟认证范围有关的资质/许可证明名称、有效期;内容较多可附清单,若附多场所清单可忽略此项。
管理体系相关信息及要求(ISMS/ITSMS体系通用)
此表适用于:
信息安全、信息技术服务管理体系及相关体系。
表格各项请勿空置,不适用请填“/”。
1. 体系基本情况:
体系 名称 | 认证 依据 | 体系开始运行时间 | 体系覆盖人数 | 认证范围 | |
4 | 信息安全 | GB/T 22080-2016 | 的信息安全管理。 | ||
5 | 信息技术服务 | ISO 20000-1:2018 | 向外部客户提供 服务。 | ||
5 | 业务连续性 | ISO 22301:2019 | 的业务连续管理。 | ||
7 | 其他: |
信息安全体系如有不适用的附录A中的控制的条款请说明内容及理由:
注:1.“体系开始运行时间”适合初次认证;
2.“体系覆盖人数”与总人数有较大差异时需进行说明:
2.申请方认证范围内涉及的业务外包过程
1) 外包方名称及外包活动:
2) 申请方文件中是否有对外包过程及其控制活动的描述: £否 □是
外包过程绩效稳定、控制有效: □否 □是
3.申请方近一年内是否发生过重大事故、信息安全事件 (附页说明具体事件或中断,发生原因及整改情况)
£否
£是
□(ISMS)信息安全事件,简述:
□(ITSMS)信息技术服务中断事件,简述:
4. (ISMS/ITSMS)管理体系范围相关运营活动内,信息系统的用户人数(包含内部/外部)
□ ≥ 100万 □ ≥ 20万 □ < 20万
5. (ISMS/ITSMS)管理体系范围内服务器、终端、移动介质数量(包含内部 /外部)
服务器:£Windows
£Linux
£其他
合计(必填): 个服务器
□机房或服务器所在场所, 个;
终端:£工作站
£PC机
£笔记本电脑
£平板电脑
£PDA、手机、数码相机等移动终端
£其他:
合计: 个终端
移动介质:£U盘,£移动硬盘,£光盘,£SD卡/专用编程卡,£纸质资料
6.(ISMS/ITSMS)主要的应用(核心业务系统等):
办公:£OA,£KM(知识库),£门户网站,£内部网站,£内部共享盘,£其他
商务财务:£销售,£采购,£SCM(供应链管理),£CRM,£财务,£其他
产品设计与生产:£产品设计、仿真、测试、检验、试验软件/平台
£PLM/PDM,£ERP/SAP,£MES,£其他
IT设计开发与服务:£软件设计开发、测试软件/平台
£项目管理,£HelpDesk/事件与服务请求,£CMDB/版本控制,£测试管理,£其他
£其他:
合计 个应用平台
7. (ISMS/ITSMS)组织是否采用相关信息安全技术?
□否
£是,请简述:
£密码产品(如£PKI,£数字签名,£生物特征识别,£加密机/加密系统,£VPN,£Ukey,£其他 )
£访问控制(如£门禁系统,£AD域控,£堡垒机,£上网行为监控,£其他 )
£电子商务(如£仅展示,£订约,£结算,£其他 )
£运行系统管理(如£集中/£单机的杀毒,£集中/£单机的补丁升级,£其他 )
£通信管理(如£路由器,£交换器,£防火墙,£网闸,£入侵检测系统/入侵防御系统,£其他 )
£通信工具(如£内设的/£外部的£加密/£非加密email: ,
£内设的/£外部的£加密/£非加密IM: ,
£QQ,£微信,£其他 IM,
£内设的/£外部的£加密/£非加密£视频会议系统£电话会议系统: ,
£带程控交换机£不带程控交换机的座机电话,£IP电话,£其他 )
共采用 种安全产品。
8. (ISMS/ITSMS)组织是否使用IDC所提供的服务?
□否
£是,请简述如下:地址: 服务:
9. (ISMS/ITSMS)是否使用云服务?
□否
£是,(£公有云 □ 私有云),简述如下:
使用云服务类型:
□ IaaS:
□ PaaS:
□ SaaS:
10. (ISMS)是否存在自己开发的应用?开发与维护人员数量?
£存在自己开发的应用,开发人员 人
£维护人员 人
合计: 人
11. (ISMS/ITSMS)是否有任何涉及国家秘密的,或其他不允许审核小组接触的文件、信息、设施?
□ 否。
□ 是(见《不允许接触信息及无泄露声明》)。
12 (ISMS)限制及备案
是否属于工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》中向国务院各部委、各直属机构提供信息技术服务的,需要进行认证备案的组织?
■否。
□是,已向工信部提交《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》,并已审查同意(初审、转机构等适用)。
□是,未提交申请。
是否属于广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等我国信息安全等级保护的重点领域的组织?
■否。
□是,已获得其主管部门同意。
□是,未获得其主管部门同意。
13. (ITSMS)服务目录包括: 、 、 等大类;
主要SLA、客户及服务点包括:
编号 | SLA | 客户名称 | 服务/项目名称 | 服务点地址 |
14. (ITSMS)主要外部供方 个,主要包括: 、 、 等;
□内部供应商 个,主要包括: 、 、 等;
□充当供应商的客户 个,主要包括: 、 、 等;
15. (ITSMS) 受审核方拥有的主要资产包括:□物理服务器, 个;
□虚拟服务器, 个;
□机房或服务器所在场所, 个;
□应用, 个,包括: 、 、 等;
□网络设备, 个,包括: 、 、 等;;
□终端设备, 个,包括:□台式计算机,□笔记本计算机,□平板电脑,□PDA、手机、数码相机等移动终端,□其他: 等;
□密码产品 个,包括:□VPN,□加密机,□数字签名,□PKI,□加密Email,□加密IM,□Ukey,□WinRAR,□Windows Bitlocer,□其他: 等
□其他: 、
注:若为一体化审核,15可不填写,引用ISMS部分5~9等。
除上述资产外,被受审核方管理的其他主要配置项(一般是客户的资产)包括:□物理服务器, 个;
□虚拟服务器, 个;
□机房或服务器所在场所, 个;
□应用, 个,包括: 、 、 等;
□网络设备, 个,包括: 、 、 等;;
□终端设备, 个,包括:□台式计算机,□笔记本计算机,□平板电脑,□PDA、手机、数码相机等移动终端,□其他: 等;
□密码产品 个,包括:□VPN,□加密机,□数字签名,□PKI,□加密Email,□加密IM,□Ukey,□WinRAR,□Windows Bitlocer,□其他: 等
□其他: 、
注:若为一体化审核,15可不填写,引用ISMS部分5~9等。
16. 是否获过得其他认证机构颁发的认证证书?如果获得过请附证书复印件及转机构声明(适用时)。
□否
£是 需转换的证书编号: 机构名称:
该证书状态: □有效 □暂停 □撤销
需转换的证书编号: 机构名称:
该证书状态: □有效 □暂停 □撤销
17. 近两年内,组织体系建立完善过程中是否接受过咨询辅导
£有 咨询人员姓名: 机构名称:
□无
(特指对体系建立和实施提供具体的建议、指导或解决方案,接受的通用信息培训课程除外)
18. 是否已实施内审和管理评审
□否(预计内审、管理评审时间 )注:该时间不能晚于一阶段审核时间
□是
19. 审核时间希望 年 月 旬进行一阶段现场认证审核
年 月 旬进行二阶段现场认证审核
20. 如果存在多个体系认证,是否希望按结合审核安排审核 □是 □否
如果选“是”,请对贵组织体系的一体化程度在下列方面进行说明
□一套整合的文件,适宜时,包括适度融合的作业文件;
□考虑总体经营战略和计划的管理评审;
□内部审核采用一体化方法;
□方针和目标采用一体化方法;
□体系过程采用的一体化方法;
□改进机制(纠正和预防措施、测量和持续改进)采用的一体化方法;
□一体化的管理支持和管理职责;
□已应用运行贯通业务的信息化系统(如ERP、MES、PDM、LIMS、OA等);
□是否能迅速从信息化系统获得各体系相关信息;
□所有体系的授权代表(体系负责人)是同一个人,或部分为同一人,具体描述: .
如果上述准则不能被完全满足,请详述如下:
21.(ISMS)体系覆盖范围内人员情况
□ 正式员工人数: 人
□ 临时工 人,平均年工作小时 ,核算为: 人
□ 兼职工 人,平均年工作小时 ,核算为: 人
□ 供应商驻点服务人员(ISMS适用): 人
□ 实习生(ISMS适用): 人
如存在倒班且每班产品/过程是否相同
£不相同
□相同 相同时,请填写 参与倒班人数 班 倒
(ITSMS)体系覆盖范围内人员情况
□ 正式员工人数: 人
□ 临时工 人,平均年工作小时 ,核算为: 人
□ 兼职工 人,平均年工作小时 ,核算为: 人
如存在倒班且每班产品/过程是否相同
£不相同
□相同 相同时,请填写 参与倒班人数 班 倒
(BCMS)体系覆盖范围内人员情况
□ 正式员工人数: 人
□ 临时工 人,平均年工作小时 ,核算为: 人
□ 兼职工 人,平均年工作小时 ,核算为: 人
如存在倒班且每班产品/过程是否相同
£不相同
□相同 相同时,请填写 参与倒班人数 班 倒
22. 是否需要申请预审?
□ 否
□ 是,预审 日期:
23. 证书类别?
□ 中文证书: 张 □A4 □A3
□ 英文证书: 张 □A4 □A3
一般性承诺和声明(ISMS/ITSMS/BCMS体系通用)
(1)组织声明:取得国家市场监管部门或有关机构注册登记的法人资格或其组成部分。例如:客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书、党政机关设立文件等,可独立申请认证。其他类型的客户,应由具备资格的单位代为申请; (2)组织声明:建立并提交了认证范围内的管理体系文件,且正常运行至少三个月以上,至少已实施一次完整的内审和管理评审,或已编制内审和管理评审的实施计划,并承诺在证书有效期内,持续有效运行管理体系; (3)组织声明:取得国家、地方或行业相关法律法规规定的行政许可文件(适用时);其申请认证范围应在法律地位文件和行政认可文件核准的范围内;申请的认证范围不能包括涉及国家安全和机密的内容和场所; (4)组织申明:没有被监管执法部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”或违反国家相关法规,虚报、瞒报获证所需信息的情况; (5)组织承诺始终遵守法律、法规及其他要求; 承诺获得认证后发生与认证的管理体系有关的重大事件将及时向认证机构报告; 承诺向认证机构报告组织运营及管理体系的变更; 承诺始终遵守认证的有关规定,承担与认证有关的法律责任,并有义务协助认证监管部门的监督检查,对有关事项的询问和调查如实提供相关材料和信息; (6)组织承诺获得认证后,按规定使用认证证书和认证标志和有关信息,不得擅自利用管理体系认证证书的文字、符号误导公众认为其产品或服务通过认证。 (7)组织承诺按合同支付认证费用,并按规定接受监督; (8)组织承诺,在认证审核期间,能够提供与拟认证范围相关的产品/服务/活动现场。 (9)本组织已阅中质协质量保证中心的《公开文件》、承诺遵守其要求并承诺上述提交信息的真实性。 受审核方盖章: 年 月 日
|
不允许接触信息及无泄露声明(ISMS/ITSMS适用)
(1)组织声明: 本组织 ■没有□有涉及国家秘密的文件、信息、设施。 这些信息不在本次认证申请范围内。
本组织 ■没有□有 其他不允许审核小组接触的文件、信息、设施。简述如下:
(2)组织声明: 本组织在一年内,未发生较严重的信息安全泄露事故或信息技术服务事故(包括已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益)。
受审核方盖章: 年 月 日
|
特殊备案声明(ISMS适用)
组织声明: 本组织属于工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》中向国务院各部委、各直属机构提供信息技术服务的组织,需要进行认证备案。 □现已向工信部提交《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》,并已审查同意(初审、转机构等适用)。 □正在提交申请或备案过程中,承诺在 日内完成。
受审核方盖章: 年 月 日
附(备案信息): |
注:不属于“特殊备案”范围的。无需填写此表。
一般备案声明(ISMS适用)
组织声明: 本组织属于广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等我国信息安全等级保护重点领域的组织,需要主管部门同意认证。 □现已获得主管部门同意。 □正在提交办理有关手续,承诺在 日内完成。
受审核方盖章: 年 月 日
附(主管部门同意的信息) |
注:不属于“一般备案”范围的。无需填写此表。
申请所需资料清单
若提供电子版可以接受PDF ,EXCELL,JPG等格式,文件应清晰可辨,文件可压缩,最大为100MB;请在提供的文件前□打√,非独立文件请表明查找路径。(需盖章签字的文件应提供原件)
多体系同时申请时通用材料提供1份即可。
自查打勾 | 序号 | 申请资料及表格 | 请勾选文件的形式 | 备注 | |
纸质 | 电子版 | ||||
£ | *1 | 认证合同 | £ | ||
£ | *2 | 申请书(申请方基本信息+体系相关信息+一般承诺和声明) | £ | ||
£ | *3 | 管理体系认证范围内场所清单及抽样计划(适用时) | £ | ||
£ | *4 | 营业执照/事业单位法人证书 | £ | ||
□ | *5 | 资质证明/许可证明(适用时) | £ | ||
£ | 6 | 经评审和批准的有效版本的文件化信息,例如:£管理手册、£程序文件、£制度(规程)的清单等。 | £ | ||
所提供的文件应包括以下内容: 企业简介 方针、目标 认证范围(从场所、产品、活动过程等角度来描述) 体系开始运行时间(以文件发布、运行证据为支持) 组织机构图、职能分工(若认证范围仅为局部应标出认证范围覆盖的部分) 生产/服务流程图、体系相关的过程描述等 | £ | ||||
□ | 7 | £适用法律法规标准清单 £场所所在国或区域法律法规标准要求清单(若有跨国场所) £所提供服务客户所在国或区域法律法规标准要求清单(若向境外提供服务) | £ | ||
9 | 下列各体系专有需要提供的文件应包括以下内容: | ||||
□ | 9 | £(ISMS)£适用性声明(SOA)、£主要信息安全风险清单、£残余风险的说明、£不允许接触信息及无泄露声明、£备案信息(适用时)等 以下资料,最晚在一阶段审核结束前必须提供: £风险评估实施准则、£风险接受准则、£风险评估报告、£风险处置准则、£风险处置计划、、£安全区域分级平面图(需要保密分级的区域、需要访问控制的区域、重要信息资产设施相关的区域等)、£网络拓扑图(显示网络原理即可,敏感信息需删除) | £ | ||
□ | 9 | £(ITSMS)£《服务目录》、£顾客清单、£SLA清单、£服务点清单、£不允许接触信息及无泄露声明 | £ | ||
□ | 9 | £(BCMS)£主要风险清单 £BCP清单 | £ | ||
□ | 10 | 证明合规运行的客观证据(如法律规定时,信息系统等级保护测评的证据) | £ | ||
£ | *11 | 转机构声明(转机构适用) | £ | ||
£ | *12 | 上一周期的审核资料(转机构适用) | £ | ||
£ | 13 | 其他资料(请列出文件名称) | £ | ||
