省直有关部门，各设区市工业和信息化局、质量技术监督局、国有资产监督管理部门、保密局，各检验检疫分支机构，中国人民银行各市中心支行，各有关单位：
   为防范信息安全管理体系认证过程中被认证单位敏感信息泄露带来的安全风险，充分发挥认证对信息安全管理的规范作用，根据工业和信息化部等六部门联合下发的《关于加强信息安全管理体系认证安全管理的通知》（工信部协〔2010〕394号），本着“鼓励为政府部门提供信息技术外包服务的机构按照信息安全管理体系相关标准加强信息安全建设，鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务”的思想，现就加强我省信息安全管理体系认证的安全管理工作通知如下：
   一、各级政府机关和政府信息系统运行单位，不得利用社会第三方认证机构开展信息安全管理体系认证。涉密信息系统建设使用单位，不得申请信息安全管理体系认证。
   二、为政府部门提供信息技术外包服务的机构，申请信息安全管理体系认证时，若其认证范围涉及政府信息，须经过省工业和信息化厅审查。接受服务的政府部门应将此规定在相关合同、协议中向服务机构明确。
   三、基础信息网络和重要信息系统主管部门及国有资产监督管理部门，应分别加强对行业和国有企业的信息安全管理，对信息安全管理体系认证提出管理要求。通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位，确需申请信息安全管理体系认证，应事先报行业主管或监管部门同意。其他涉及国计民生的国有企业，确需申请信息安全管理体系认证，应事先报国有资产监督管理部门同意。涉及国家秘密的，应报省保密局同意。
   四、申请认证单位，应选择国家认证认可监督管理部门批准从事信息安全管理体系认证的认证机构进行认证，并与认证机构签订安全和保密协议，严格信息安全和保密管理，要求认证机构切实履行不泄露、不扩散、不转让认证信息的义务，保证重要敏感信息不出境。
   五、申请认证单位在获证后30个工作日内，应向省工业和信息化厅备案，并加强信息安全风险评估，及时排查安全漏洞和安全隐患。
   六、各级工业和信息化行政管理部门，要了解掌握同级政府部门信息技术外包服务情况，结合实际提出安全管理要求；指导、督促为政府部门提供信息技术外包服务的机构加强信息安全管理。
   七、认证认可监督管理部门，要针对信息安全管理体系认证的特点，加强资质审查和日常监管，规范认证行为，依法严肃查处违法认证活动。
   八、自本通知印发之日起，对未经省工业和信息化厅同意自行申请信息安全管理体系认证（含再认证），以及在审查过程中弄虚作假、谎报申请材料的服务机构，予以通报。
   九、各设区市可参照本通知，研究制定符合本地实际的安全管理办法。

   附件：附件下载.doc

二○一二年三月十四日

   来源：网络信息安全处