六、服务机构申请信息安全管理体系认证(含再认证)时,应经工业和信息化部安全审查同意。
七、工业和信息化部负责安全审查的管理工作,包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。
八、申请安全审查的服务机构应向工业和信息化部提交以下材料:
(一)经服务机构法定代表人或其授权代表签署的《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》(附表1)。
(二)服务机构拟提交给信息安全管理体系认证机构的认证申请材料,包括服务机构的营业执照及组织机构代码证书复印件、机构简介、主要业务流程、信息安全管理体系相关程序文件及其清单,以及认证机构要求提供的其他材料。
(三)服务机构拟选定的信息安全管理体系认证机构的基本信息,包括认证机构名称、性质、资质、联系方式及机构简介等。
(四)服务机构证明其在申请认证、再认证及年度复核过程中确保不泄露政府重要信息的相关说明材料,包括但不限于拟与认证机构签署的安全保密协议,对认证活动中涉及政府信息的数据、文档、设备的安全管理措施,以及对参与认证人员的安全管理措施等。
(五)工业和信息化部要求提供的其他补充材料。
九、工业和信息化部对服务机构提交的申请材料进行形式审查,并将是否受理的结果告知提交申请的服务机构。
十、工业和信息化部会同相关部门,组织专家对受理的申请进行实质审查,评估认证活动可能带来的信息安全风险,并将审查结果告知提交申请的服务机构。
十一、经审查同意申请并获得信息安全管理体系认证证书的服务机构,应在获证后30个工作日内向工业和信息化部备案。
十二、自本审查程序公告之日起,对于未经工业和信息化部同意自行申请信息安全管理体系认证(含再认证),以及在审查过程中弄虚作假、谎报申请材料的服务机构,工业和信息化部将在一定范围予以通报。
十三、本审查程序由工业和信息化部负责解释。
