信息安全服务资质申请书安全工程类一级实例Word格式.docx

1、注意：除第二项外其余各项均为单选。申请单位（盖章）：申请日期：20 年月日一、 申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：注册地址：办公地址：邮政编码：法定代表人姓名：职务：联系人姓名： 职务：电子邮箱：联系方式： 电话 （010） 传真 （010） 手机 （ ）工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：已获的国家信息安全服务资质证书号码（附资质证书复印件）：其他重要的法律文件：二、 申请单位概况本项应包括以下内容：1 描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；2

2、 申请单位组织结构图；3 申请单位部门职能文字描述（包括与安全服务有关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等）。2.1 公司简介2.2公司组织架构2.3 各部门职责三、 申请单位近三年资产运营情况1 申请单位近三年资产运营情况（加盖公章）（表31）；2 近三年审计报告与信用等级证明材料（若无审计报告请提供加盖公章的资产负债表和损益表）；3 安全服务费用包括：涉及安全内容的系统设计费、软件开发费、系统集成费、服务费和培训费等；4 财务亏损或其它异常状况发生请提供证明材料。申请单位近三年资产运营情况表表31 单位：万元人民币近三年资产负债表年资产总额负债与所

3、有者权益总额流动资产负债总额其中应收帐款流动负债平均应收帐款长期负债存货所有者权益平均存货实收资本固定资产原值未分配利润固定资产净值近三年损益表收入总额财务费用业务收入营业利润其中安全服务收入投资收益销售成本利润总额销售费用净利润销售利润管理费用四、 申请单位人员情况1 申请单位负责人情况（表41）；2 申请单位技术负责人情况（表42）；3 申请单位安全服务负责人情况（表43）；4 以上人员的任职、学历、职称、业绩证明材料复印件；5 安全服务专业技术人员名单（表44）；6 提供已有CISP资格人员的CISP证书复印件。申请单位负责人情况表表41姓 名性 别出生年月职 务职 称学 历毕业时间毕业

4、学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业 绩申请单位技术负责人情况表42 申请单位安全服务负责人情况表43 安全服务专业技术人员基本情况表44序号部门名称身份证号学历职称从事岗位技术特长备注安全服务人员数量安全服务人员数量占公司总人数比例五、 申请单位技术能力基本情况本项包括以下四项内容：1 自主开发产品情况（表51）；2 工作环境设施情况（表52）；3 常用安全服务工具情况（表53）；4 安全服务网站情况（表54）。申请单位技术能力基本情况表表51 自主开发产品情况产品名称产品概述产品功能和特点产品认证情况表52工作环境设施情况分 类型 号数 量服 务 器工 作 站网络设

5、备网络安全设备其 他表53常用安全服务工具名 称功 能 描 述版 本工具提供商或开发人员表54安全服务网站网 址安全服务内容更新频率维护人数六、 申请单位的信息安全工程过程能力本项应包括以下十一项内容：1 评估系统安全威胁的能力；2 评估系统脆弱性的能力；3 评估安全对系统的影响的能力；4 评估系统安全风险的能力；5 确定系统的安全需求的能力；6 确定系统的安全输入的能力；7 进行管理安全控制的能力；8 进行监测系统安全状况的能力；9 进行安全协调的能力；10 进行检测和证实系统安全性的能力；11 进行建立系统安全的保证证据的能力。6.1 评估系统安全威胁的能力本项要求：1 详细描述申请单位是

6、如何识别系统所面临的各种安全威胁及其性质和特征；2 详细描述申请组织是如何对威胁的可能性进行评估的；3 提供一份具体项目中关于评估系统安全威胁的相应文档、记录。表61描述如何对系统安全威胁进行评估详细描述系统安全威胁是在信息系统中存在的对机构、组织或部门造成某种损害的潜在可能性，可能导致信息安全事故和组织信息资产损失的活动,威胁是利用脆弱性来造成后果的。系统安全威胁来自于两个方面：人为威胁和自然威胁。人为威胁分两部分：一是意外的人为威胁，由各类不确定因素综合在一起时偶然发生的；二是有意的人为威胁，由有意的行为所引起的。自然威胁是不以人的意志为转移的不可抗拒的自然事件，如地震、海啸、雷击和台风等

7、等。识别并评价资产之后，我们将进行识别每项（类）资产可能面临的威胁源，并描述其性质和特征，常见的威胁如下：1、人员威胁：包括故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（比如误操作、维护错误）；2、系统威胁：系统、网络或服务的故障（软件故障、硬件故障、介质老化等）3、环境威胁：电源故障、污染、液体泄漏、火灾等；4、自然威胁：洪水、地震、台风、滑坡、雷电等。通过识别工作，找出合适的自然威胁列表，对人为威胁应描述其威胁如何发生的测试其威胁相关事件的可能性，同时进行评估性工作，如评估由人为原因引起的威胁作用力的技能和效力。就威胁本身来说，评估威胁可能性时有两个关键因素需要考虑

8、，一个是威胁源的动机（Motivation），包括利益趋势、报复心理、玩笑等，另一个是威胁源的能力（Capability），包括其技能、环境、机会等。威胁源的能力和动机都用“高”、“中”、“低”这三级来衡量。在评估威胁事件可能性时，我们充分考虑多种因素，如一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响，同时也注意在不同的安全服务项目中，各因素出现的概率都有所不同。威胁的可能性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是说，具体的威胁评估结果会随着时间的变动而需要重新审核。所以在威胁评估中，评估者的专家经验

9、非常重要。注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。6.2 评估系统脆弱性的能力1 详细描述申请单位是如何对系统的脆弱性进行评估的，包括所选择的分析方法、工具，收集、合成系统的脆弱性数据等；2 提供一份具体项目中关于系统脆弱性评估的相应文档、记录，包括系统脆弱性清单、攻击测试报告等。表62 描述如何评估系统脆弱性企业信息系统中光有威胁还构不成风险，威胁只有利用了特定的弱点才可能对资产造成影响，所以我们针对每一项需要保护的信息资产，找到可被威胁利用的弱点，常见的弱点有三类：1、技术性弱点：系统、程序、设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞；2、操作性弱点：软件

10、和系统在配置、操作、使用中的缺陷，包括人员日常工作中的不良习惯，审计或备份的缺乏；3、管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。通过脆弱性识别，获得系统中的脆弱性清单，以及相应的测试分析结果。评估弱点时充分考虑两个因素，一个是弱点的严重程度，另一个是弱点的暴露程度，即被利用的容易程度，这两个因素我们也用“高”、“中”、“低”三个等级来衡量。高等级：可能导致超级用户权限获取，机密系统文件读写，系统崩溃等资产严重损害的影响，一般为远程缓冲区溢出，超级用户弱密码，严重拒绝服务攻击等。中等级：介于高等级和低等级之间，一般为不能直接被威胁利用，需要和其他弱点组合才能造成影响，或可

11、以直接被威胁利用但只能引起中等的影响。一般为不能直接利用产生超级用户权限获取、机密系统文件读写、系统崩溃等影响的。低等级：可能会导致一些非机密信息泄漏、非严重滥用和误用等不严重的影响。一般为信息泄漏、配置不规范、权限不严格、或如果配置不当可能会引起危害的弱点。这些弱点即使被威胁利用也不会引起严重影响。参考这些弱点严重性等级划分标准，我们采用的等级划分标准如下：将资产的弱点严重性分为5 个等级，分别是很高、高、中等、低、可忽略，并且从高到低分别赋值5-1。在实际评估工作中，技术类弱点的严重性值一般参考扫描器或CVE 标准中的值，并进行修正，从而获得适用的弱点严重性值。弱点的识别和获取可以有多种方

12、式，例如工具扫描、人工分析、模拟攻击测试、策略文档分析、安全审计、网络架构分析、业务流程分析等。可以根据具体的评估对象、评估目的来选择具体的弱点获取方式。在弱点的识别和获取中，必须对应前一个过程中识别出的威胁列表，不能被列表中威胁所利用的弱点在风险评估中没有意义，可以不进行识别。同时，因为威胁来源可以分为内部和外部，所以弱点的获取方法也可以根据威胁的来源不同而选择不同的获取方式，比如从内网获取和从外网获取。6.3 评估安全对系统的影响的能力1 详细描述申请单位是如何识别系统资产和评估系统资产影响的；2 提供一份具体项目中关于评估系统资产影响的相应文档、记录，如系统优先级清单、系统资产影响分析表

13、等。表63 描述如何评估安全对系统的影响的影响是安全事件对系统产生的后果，可能对资产造成一定的破坏作用，如对信息系统的机密性、完整性、可用性、可说明性、验证性或可靠性的破坏，也可能引起间接的结果，如经济损失、市场占有率损失和公司形象损失等。首先和组织相关人员协商，界定信息资产和重要性，按照保密等级和业务类型等因素分成若干资产类。确定资产列表，列出包含在资产类和子类中的所有重要的信息资产，主要包括几种资产类型，包括数据、主机、网络和虚拟资产。最后将资产赋值，赋值是对资产的机密性、完整性和可用性方面的价值分别赋予价值等级，分为五个等级。识别系统资产和它的运行意义及产品资产和它的运行意义,资产包括系

14、统的人、环境、技术和基础设施，还包括数据和资源。确定评估影响的度量标准，从资产预算财务成本、重要等级和基本的描述中说明影响的数量、质量。影响有一个属性：严重性。此值等同于弱点的严重性，考虑资产的等级将影响严重性分为5 个等级，分别是很高、高、中等、低、可忽略，并且从高到低分别赋值5-1。主要识别和分析系统操作的运行、业务或任务的影响，并进行优先级区分。根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的影响=F（资产重要程度，脆弱性严重程度）部分安全事件的发生造成的影响不仅仅是针对该资产本身，还可能影响业务的连续性，不同安全事件的发生对组织造成的影响也是不一样的。在计

15、算某个安全事件的损失时，应将对组织的影响也考虑在内。监视影响，影响都是动态的，新的影响可以随着外界与内部环境的变化而与此相关。因此重要的是监视现有影响并有规律地检查潜在的新影响。6.4 评估系统安全风险的能力1 详细描述申请单位是如何识别、分析和评估系统安全风险的，包括选择安全风险评估方法、安全风险的计算、安全风险等级排列、提出安全风险的应对措施等；2 提供一份具体项目中关于评估系统安全风险的相应文档、记录。表64 描述如何评估系统安全风险的安全风险评估的总体目标是认清信息安全环境、信息安全状况，有助于达成共识，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持

16、续性。风险评估的策略是首先选定某项资产，评估资产价值，挖掘并评估资产面临的威胁、弱点，评估该资产的风险，进而得出整个评估目标的风险。风险存在两个属性，后果和可能性。最终风险对信息系统的影响，也就是风险两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性。随着弱点严重级别的提高会增加该资产面临风险的后果。在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值（影响）的函数。我们采用如下算式来得到资产的风险赋值：风险值 = 资产价值 威胁可能性 资产脆弱性上述公式主要考虑到各参数的

17、取值并不是特别精确的数据，加入了顾问的经验和判断，在国际中对此类数据常采用的数据主要使用乘法或矩阵等方法。考虑到便于运算，故我们采用线性的相乘。根据风险信息和数据，对风险分析予以不同程度的改进。采用下面的赋值矩阵来获得最终的风险等级：等级标识含义数值5很高风险很高，导致系统受到非常严重影响的可能性很大101-1254高风险高，导致系统受到严重影响的可能性较大76-1003风险中，导致系统受到影响的可能性较大51-752低风险低，导致系统受到影响的可能性小26-501很低风险很低，导致系统受到影响的可能性很小0-25风险等级对照表6.5 确定系统的安全需求的能力1 详细描述申请单位是如何进行系统

18、安全需求分析并提出系统安全要求的；2 提供一份具体项目中关于确定系统的安全需求的相应文档、记录，如安全需求调查表、安全策略定义，安全目标定义，安全需求分析报告等。表65 描述如何确定系统的安全需求的安全需求有三个主要来源：第一个来源是对机构面临的风险的评估。经过评估风险后，便可以找出对机构资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。通过与用户相关人员充分交流、问卷调查的方式获得用户系统安全需求及外部影响，如可用的法律

19、、策略、和约束。当识别安全需求出现冲突时，应按最小化原则加以识别，并在可能条件下予以解决。识别系统的用途，以识别和定义其安全相关的安全需求，同时了解关联性的因素，监视和定期评估这些因素是如何影响系统安全性的，定义的相关安全应与可适用的政策、法律法规、标准及系统的约束条件协调一致。在系统安全需求的约束内进行广泛讨论，面向高层次安全开发一个规划图，其中包括角色、职责、信息流程、资产、人员保护以及物理保护。在系统运行中，注意安全目标的影响，因此要动态的捕捉安全的高层目标。通过对安全需求分析，确定安全策略、安全目标。并在各种安全需求之间建立安全协议，从而使它们达成一致。6.6 确定系统的安全输入的能力

20、1 详细描述申请单位是如何为系统的规划者、设计者、实施者或用户提供他们所需的安全输入的，包括对系统安全体系进行设计、编制安全工程实施指南、系统安全运行操作指南和有关安全管理制度等文档、进行安全培训等；2 提供一份具体项目中关于确定系统的安全输入的相应文档、记录，如系统安全体系设计方案，各种安全相关的指南等。表66 描述如何确定系统的安全输入的同用户、系统安全规划者、系统安全设计者进行充分交流与沟通，为他们提供所需的安全信息必须建立的组织的信息安全的整体框架，再辅之以文档、备忘录、培训、咨询等多种形式的输入,最终形成安全信息的一个共同理解。组织信息安全的框架基于企业安全需求分析所确定的需求，对于

21、企业的安全架构模型、策略、程序、组织、运行管理、项目的选择、设计、实施等方面提供详细的描述,对采取的技术手段与方法提供明确的描述，并对以后的安全规划提供建议。根据国际国内信息安全的标准，相关的资料、工程经验对安全工程的可能约束进行仔细分析，以决定在需求、设计、实现、配置和文档方面的任何安全限制与约束。约束在系统生命期内的所有时间内进行肯定或否定性的识别。也考虑在不同抽象层次上进行约束的识别。这些约束与考虑用于安全选择和提供安全工程指南。通过对安全相关的需求进行分解、分析和重组，这一过程是反复进行的，最终把安全相关的需求转化到实现中，形成有效的解决方案，解决方案包括：系统体系结构、设计、实现方法

22、。同时根据安全约束和需要考虑的问题进行方案分析，并对安全约束和需要考虑的问题定义它们的优先级。开发出与安全有关的指南，并提供给工程组，安全工程指南包括体系结构、设计和实现建议等。同时为运行系统的用户和管理员提供安全相关的指南，本指南告诉用户和管理员以安全模式进行安装、配置、运行和淘汰系统时必须做些什么、需要注意的事项。本指南的开发应在项目生命期内提早开始，为用户和管理员提供标准的和系统详细的文档资料，包括：项目说明书，项目开发文档、接口说明、管理员和用户手册等文档。6.7 进行管理安全控制的能力1 详细描述申请单位是如何对系统的安全控制进行管理的，包括控制系统在运行状态最终实现所设计的安全程度

23、，建立安全职责，对所有用户和管理员实施安全意识教育和培训，制定和维护教育大纲，对系统进行合理配置等；2 提供一份具体项目中关于进行管理安全控制的相应文档、记录。表67 描述如何进行管理安全控制的能力通过协助用户建立安全控制策略，完善安全控制的职责和责任，将安全控制的职责和责任通知到组织中的每一个人。通过建立安全组织图表，描述安全角色和安全职责，并对安全织织中的人员进行授权和培训。对系统安全控制进行配置管理：如操作系统的更新、软件的更新、系统安全配置的修改等进行记录。并且安全控制的配置管理应该是可知的和可维护的。根据所有的用户和管理员的安全意识、受培训的程度制定相关安全意识、培训大纲与培训教材。

24、对于一个特定的安全机制和控制来说，用户对该安全所处的位置与重要性的原因的明确是最重要的，所以需要跟踪用户对组织和系统安全的理解，不定期的进行用户安全培训，以调整用户适应新的安全需要。定期维护和管理安全服务与控制机制：如维护和管理日志，定期根据安全策略对企业和系统进行安全检查。跟踪记录系统维护与检查方面的问题，以便识别需要额外关注的地方，注意维护、管理与检查的例外，描述敏感信息和敏感介质清单，建立起保证措施，以降低敏感信息与介质可能出现的不必要风险。6.8 进行监测系统安全状况的能力1 详细描述申请单位是如何监测系统的安全状态并处理安全突发事件的；2 提供一份具体项目中关于进行监测系统安全状况的相应文档、记录。表68 描述如何进行监测系统安全状况的分析各种事件记录，事件日志记录至少应包括：用户身份标识符、登陆与