68．工业和信息化部、国家质量监督检验检疫总局、 中国人民银行、国务院国有资产监督管理委员会、 国家保密局、国家认证认可监督管理委员会 关于加强信息安全管理体系认证安全管理的通知 （工信部联协〔2010〕394 号） 国务院各部位、各直属机构，各省、自治区、直辖市工业和信息化主管部门、质 量技术监督局、国有资产监督管理部门、保密行政管理部门，各直属检验检疫局， 人民银行上海总部、各分行、营业管理部、省会（首府）城市中心支行、副省级 城市中心支行： 信 息 安 全 管 理 体 系 认 证 是 依 据 相 关 信 息 安 全 管 理 标 准 （GB/T22020-2008/ISO/IEC27001：2005 等），对一个单位信息安全管理状况进 行评价的过程。开展信息安全管理体系认证，有利于个单位规范信息安全管理， 有利于企业特别是服务外包企业开拓国际市场。但由于认证活动涉及被认证单位 组织体系、业务流程、网络拓扑、关键信息设备配置、安全防护状况及薄弱环节 等敏感信息，如果管理不到位，造成敏感信息泄露，将会使被认证单位面临信息 安全风险，甚至危及国家经济安全和利益。为加强信息安全管理体系认证的安全 管理，减少信息安全风险，现就有关事项通知如下： 一、各级政府机关和政府信息系统运行单位，不得利用社会第三方认证机构 开展信息安全管理体系认证。为确保国家秘密安全，涉密信息系统建设使用单位 不得申请信息安全管理体系认证。 二、各级工业和信息化主管部门要了解掌握同级政府部门信息技术外包服务 情况，结合实际提出安全管理要求；指导督促为政府部门提供信息技术外包服务 的机构加强信息安全管理。为政府部门提供信息技术外包服务的机构申请信息安 全管理体系认证时，若其认证范围涉及政府信息，须经工业和信息化主管部门同 意。 三、国家认证认可监督管理部门要针对信息安全管理体系认证的特点，进一 步完善信息安全管理体系认证管理办法和相关标准，严格信息安全管理体系认证 机构的市场准入管理，加强资质审查和日常监管，规范认证行为，依法严肃查处 违法认证活动。 四、基础信息网络和重要信息系统主管部门及国有资产监督管理部门应加强 对行业和国有企业的信息安全管理，对信息安全管理体系认证提出管理要求。通 信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位确需申请 信息安全管理体系认证，应事先报行业主管或监管部门同意，其他涉及国计民生 的国有企业确需申请信息安全管理体系认证，应事先报国有资产监督管理部门同 意，涉及国家秘密的应报保密行政管理部门同意。通过认证后，应加强信息安全 风险评估，及时排查安全漏洞和安全隐患。 五、申请认证单位应选择国家认证认可监督管理部门批准从事信息安全管理 体系认证的认证机构进行认证，并与认证机构签订安全和保密协议，严格信息安 全和保密管理，要求认证机构切实履行不泄露、不扩散、不转让认证信息的义务， 保证重要敏感信息不出境。 工业和信息化部 国家质量监督检验检疫总局 中国人民银行 国务院国有资产监督管理委员会 国 家 保 密 局 国家认证认可监督管理委员会 二〇一〇年八月十七日