ISMS认证机构认证业务范围分类表.docVIP

附录一 ISMS认证机构认证业务范围分类表 大类 中类 风险级别 内容 备注 01 政务 01.01 I 国家机构 包括人大、政府、法院、检察院等，不含税务机关和海关 01.02 I 税务机关 01.03 I 海关 01.04 II 其他 例如政党，政协，人民团体等 02 公共 02.01 I 广播电视 02.02 I 通信 02.03 I 新闻出版 02.04 II 互联网内容提供 02.05 II 科研 02.06 II 社会保障 例如社会保险基金管理、慈善团体等 02.07 II 卫生保健 02.08 III 教育 02.09 III 其他 例如市政公用事业（水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等） 03 商务 03.01 I 金融 例如银行、证券、期货、保险、资产管理等 03.02 I 电子商务 以在线交易为主要特点，含网络游戏 03.03 III 服务外包 03.04 III 咨询中介 例如法律、会计、审计、公证等 03.05 III 物流 含邮政 03.06 III 旅游、宾馆、饭店 03.07 III 其他 04 产品的生产 产品包括软件、硬件、流程性材料和服务 04.01 I 电力 包括发电和输、变、配电等 04.02 I 铁路 04.03 I 民航 04.04 I 化工 04.05 I 航空航天 04.06 II 交通运输 包括公路、水路、城市公共客运交通等，不含航空和铁路 04.07 II 信息与通信技术 例如软、硬件生产及其服务，系统集成及其服务，数字版权保护等 04.08 II 冶金 04.09 II 采矿 含石油、天然气开采 04.10 II 水利 04.11 II 食品、药品、烟草 04.12 III 农、林、牧、副、渔业 04.13 III 其他 注1：以上分类考虑了组织的信息、信息载体及载体所处环境的特点，并结合了当前我国信息安全等级保护的重点领域，例如政府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等。不宜将认证业务范围等同于与ISMS认证相关的技术领域（见G.1.1）。 注2：以上风险分级主要考虑获证组织的信息安全遭受破坏时，对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度，以及获证组织ISMS的有效性发生问题时，认证机构和CNAS可能承担的责任，主要是为了控制认可活动的风险，也可为认证机构分析和控制认证业务风险提供参考。某些中类（例如每个大类的“其他”中类）的风险级别还需要随着ISMS认证认可活动的发展做进一步分析。因此，中类的风险级别并不代表相关组织的信息安全风险水平，也不表示该类中所有组织的信息安全风险水平都相同。