一体化认证自评信息收集表（试行）.docVIP

一体化认证自评价信息收集表（试行） 填写说明： 请根据实际情况进行填写，下列表单中未注明是否为必填项的都需要进行填写； 需要证据提供的内容，可以提供文件、截图、照片等信息，可直接放在表单中，或者作为附件提供，如果作为附件提供，请将名称标注为：“附件n（n=1、2、3……）：文件名称”，并与附件名称保持一致。 下表中大部分内容都添加了注，可以帮助理解或填写，请关注； 本表单请与申请书或监督审核回执一起发回本中心。 组织基本信息（4.1、4.3）（具有法律地位的组织，如果认证组织范围不是具有法律地位的组织，此处填写其隶属的具有法律地位的组织）： 组织名称 组织地址（注册） 组织地址（运营） 组织人数 人员信息 姓名 电话 手机 邮箱 法人 自愿提供原则 自愿提供原则 负责人 自愿提供原则 联系人 必填 组织架构及说明（包括组织架构图和部门职责）： 管理体系覆盖的组织范围（包括部门和人员数量）： 管理体系覆盖的组织范围内删减说明（包括部门、人员数量和不覆盖原因）： 管理体系覆盖的运营地址（如果体系覆盖的运营活动有多场所、临时场所和（或）服务点，请填写附表3）： 主营业务及对信息技术的依赖程度： 业务名称 业务关键活动 主责部门 依赖程度 □高 □中 □低 □高 □中 □低 □高 □中 □低 注： 依赖程度高，相关信息系统中断将造成业务中断，无替代活动； 依赖程度中，相关信息系统中断将造成业务的部分活动无法进行，有替代活动； 依赖程度低，无信息技术支持，或者支持的系统中断对业务影响很小，不会造成业务中断。 体系建设相关部门信息（体系的规划、建设、运行和维护的部门）（4.1）（可以增加部门信息表单的数量） 部门一 办公地址 人数 人员信息 姓名 电话 手机 邮箱 负责人 自愿提供原则 联系人 必填 部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）： 部门二 办公地址 人数 人员信息 姓名 电话 手机 邮箱 负责人 自愿提供原则 联系人 必填 部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）： 部门三 办公地址 人数 人员信息 姓名 电话 手机 邮箱 负责人 自愿提供原则 联系人 必填 部门架构和职责（包括架构图、内部团队的职责说明及团队负责人）： 组织战略和管理层诉求（4.2、5、6.2） 组织总体战略和业务目标（包括组织对自身的定位和业务发展方向） （注：填写时一定是组织的战略和业务发展目标,就算是信息技术部门做体系也要了解整个组织的战略与业务情况,因为标注要求的组织背景分析是全面的,要建立一个体系，建好了其它体系是加入到这个体系而不是分别建立体系的思想） 信息技术应用（信息化）战略定位和方针：（ITSMS必填） 与信息技术应用（信息化）战略相关的主要任务和关键指标（年度工作计划）：（ITSMS必填） 安全保障战略定位和方针：（ISMS必填） 与安全保障战略相关的主要任务和关键指标（年度工作计划）：（ISMS必填） 信息技术支持和安全保障的目标： 管理层的风险偏好： 管理层其它诉求（如果有）： （注：管理层往往都有对体系相关内容的期望与要求,这些非常重要,她是体现一个组织体系建设输入的主要内容） 相关方诉求 相关方诉求（4.1、4.2）（组织应明确其与管理体系相关的各方及相关诉求） 注：相关方的诉求是体系建立的基础,上面只说了管理层的诉求,这里是全面的,至少应该包括: 员工、客户、监管（含法律法规、主管部门等）、股东、社会（含公众）、供应商（含第三方服务）、竞争对手；这些相关方实际填写时要细化，如监管可以分为国家法律法规要求（相关主体是政府）、具体行业主管、集团、地方主管、特殊领域监管部门等，诉求的描述要尽量具体，如客户不能简单满足合同要求，要明确合同要求的主要内容，因为这些是最后要满足的。 类型 相关方 诉求 优先级 □高 □中 □低 □高 □中 □低 □高 □中 □低 注： 1、相关方主要是指对信息技术支持和安全保障能力有影响或被其影响的组织或个人，例如管理层、客户等，可以考虑组织内外的相关方。 2、相关方的诉求主要为相关对组织的所有要求和期望，不仅仅为信息技术支持和安全保障能力相关的诉求。 3、优先级根据相关方对信息技术支持和安全保障能力的影响或受到的相关影响的程度决定，决定相关方要求考虑的优先级，优先级分为三级，分别为高、中、低。 高：要求必须满足，或不满足会产生不可接受的影响； 中：要求不是必须满足，但是如果不满足对业务较大影响 低：要求不是必须满足，但是如果不满足对业务有一定影响。 4、相关方参考： 内部相关方：股东、各级管理层、员工。 外部相关方：国家、政府、社区、监管机构、上级单位或公司、供应商、客户、用户、合作伙伴、竞争对手、第三方。 相关方沟通（7.4） 沟通管理过程（包括制度和