（1）建立信息安全管理制度并有效落实。

  1．建立以下书面文件并有效落实：

企业信息安全管理制度的书面文件。应明确信息安全管理部门（岗位）、信息安全责任、安全管理要求、信息系统日常运维保障、应急处置、系统定期更新、档案资料保管等内容。

2．信息安全情况：

（1）负责信息安全管理的具体部门（岗位）、人员、人数以及职责分工等。

（2）配合海关认证人员了解信息安全职责、企业保障信息系统和数据的安全的具体措施。

（3）过往是否发生过信息系统非连续、非正常运行等情况，如有，具体原因以及处置情况。

（4）应由使用信息系统的员工现场配合认证人员了解其对信息安全管理相关制度的掌握情况及执行情况。

3．按照海关认证人员要求提供抽查记录：

企业过往发生信息安全事故或者系统故障的应急处置工作记录。

重新认证企业，企业自成为认证企业或者最近一次重新认证后，每一年的处置记录。

企业对信息安全落实情况应与企业制度规定相符，以及符合本项标准要求。

4．配合海关认证人员实地查看：

信息安全管理的负责人或者岗位人员演示，企业在保障信息安全方面采取的措施以及措施的实施成效。

（2）对员工进行信息安全相关的培训。

 1．建立以下书面文件并有效落实：

对员工进行信息安全管理培训的书面文件。应明确对员工进行信息安全培训的部门、培训周期、内容确定、培训实施、效果评估、档案资料保管等内容。

2．信息安全情况：

（1）信息安全教育和培训的具体部门（岗位）、人员、人数以及职责分工等。

（2）配合海关认证人员了解其参加信息安全培训的情况，以及其掌握信息安全相关制度的情况。

3．按照海关认证人员要求提供抽查记录：

企业信息安全培训的历史记录。

重新认证企业，企业自成为认证企业或者最近一次重新认证后，每一年的记录。

企业提供的信息安全培训记录应与企业制度规定相符，并符合本项标准要求。

（3）对违反信息安全管理制度造成损害的行为应当予以责任追究。

 1．建立以下书面文件并有效落实：

信息安全管理制度的书面文件。应明确责任追究部门（岗位）、工作职责，管理要求，责任追究的内容、方式、如何实施，档案资料保管等内容。

2．信息安全情况：

（1）企业过往是否发生违反信息安全造成损害的行为，如有，具体情形以及处置情况。

（2）是否能够发现和防止非法入侵和篡改数据，过往是否发现有企业信息化系统被非法侵入或者篡改数据的情事，如有，具体情形以及处置情况。

    3．按照海关认证人员要求提供抽查记录：

企业对违反信息安全管理制度造成损害行为予以责任追究的相关记录。

重新认证企业，企业自成为认证企业或者最近一次重新认证后，每一年的记录。

企业信息安全责任追究应有效落实，并符合标准要求。