信息系统安全服务资质认证申请书中国信息安全测评中心.docx
《信息系统安全服务资质认证申请书中国信息安全测评中心.docx》由会员分享,可在线阅读,更多相关《信息系统安全服务资质认证申请书中国信息安全测评中心.docx(19页珍藏版)》请在冰点文库上搜索。
![信息系统安全服务资质认证申请书中国信息安全测评中心.docx](https://file1.bingdoc.com/fileroot1/2023-6/11/cdd709a6-c6ab-4a83-9949-98236789b442/cdd709a6-c6ab-4a83-9949-98236789b4421.gif)
信息系统安全服务资质认证申请书中国信息安全测评中心
编号:
国家信息安全测评
信息安全服务资质申请书
(风险评估二级)
申请单位(公章):
填表日期:
©版权2014—中国信息安全测评中心
2014年5月1日
目录
填表须知3
申请表4
一、申请单位基本情况5
二、申请单位概况6
三、申请单位资产运营情况7
四、申请单位人员情况9
五、申请单位的基本技术能力15
六、申请单位安全工程服务业绩18
七、申请单位的项目与组织管理能力21
7.1管理体系和管理职责22
7.2资源管理能力24
7.3项目过程管理能力26
八、申请单位安全风险评估服务过程能力28
8.1风险评估准备能力29
8.2安全风险评估服务的实施能力31
8.3保证过程能力33
九、申请单位获奖、资格授权情况35
十、申请单位在安全服务方面的发展规划36
十一、申请单位其他说明情况37
申请单位声明38
填表须知
用户在正式填写本申请书前,须认真阅读并理解以下内容:
1.中国信息安全测评中心对下列对象进行测评:
●信息技术产品
●信息系统
●提供信息安全服务的组织
●信息安全专业人员
2.申请单位应仔细阅读《信息安全服务资质申请指南(安全风险评估二级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章、签字的地方,必须加盖公章、签字,同时提交一份对应的电子文档。
6.本申请书要求提供的附件及证明材料须单独装订成册并编目。
提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
7.如有疑问,请与中国信息安全测评中心联系。
中国信息安全测评中心
地址:
北京市海淀区上地西路8号院1号楼
邮编:
100085
电话:
(010)82341582或82341568
传真:
82341100
网址:
电子邮箱:
cnitsec@
申请表
中国信息安全测评中心:
我单位正式提出信息安全服务资质申请,并保证将按照信息安全服务资质的要求,提供所需的所有真实信息,并配合资质测评活动。
1.申请服务类型
□A类(不具有外资背景)
□B类(具有外资背景)
2.申请服务内容
□安全风险评估二级
3.申请类型
□初次申请
□再次申请,第 次申请
注:
以上各项均为单选。
申请单位(盖章):
申请日期:
年月日
一、申请单位基本情况
申请单位全称(中文):
申请单位全称(英文):
注册地址:
办公地址:
邮政编码
法定代表人姓名:
职务:
联系人姓名:
职务:
电子邮箱:
联系方式:
电话()
传真()
手机()
工商登记注册号(附申请单位法人营业执照副本或上级主管部门批准成立文件复印件):
法人机构代码(附法人机构代码证副本复印件):
已获的国家信息安全服务资质证书号码(附资质证书复印件):
其他重要的法律文件:
二、申请单位概况
本项包括以下要求:
1.描述单位基本情况(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等);
2.给出总体的组织结构图(应体现组织与安全风险评估服务相关部门的关系);
3.描述与上述组织结构图相对应的各部门的职能。
应明确涉及“安全风险评估服务”的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理、培训和合同管理等与各部门的对应关系。
三、申请单位资产运营情况
本项包括以下要求:
1.单位近三年资产运营情况(表3-1)(加盖公章);
2.提供近三年审计报告与信用等级证明材料复印件(若无审计报告请提供加盖公章的资产负债表和损益表);
3.财务亏损或其它异常状况发生,请说明情况并提供证明材料。
申请组织近三年资产运营情况表
表3-1单位:
万元人民币
近三年资产负债表
年
年
年
年
年
年
资产总额
负债与所有者权益总额
流动资产
负债总额
其
中
应收帐款
其
中
流动负债
平均应收帐款
长期负债
存货
所有者权益
平均存货
其
中
实收资本
固定资产原值
未分配利润
固定资产净值
近三年损益表
年
年
年
年
年
年
收入总额
财务费用
其
中
业务收入
营业利润
其中风险评估服务收入
投资收益
销售成本
利润总额
销售费用
净利润
销售利润
管理费用
注:
安全风险评估服务费用包括:
四、申请单位人员情况
本项包括以下要求:
1.单位负责人情况(表4-1);
2.安全技术负责人情况(表4-2);
3.质量管理负责人情况(表4-3);
4.以上负责人的任职、学历、职称、业绩证明材料复印件;
5.与安全风险评估服相关(包括管理、业务、技术、质量、行政等方面)的所有人员名单(表4-4);
6.安全风险评估服务专业技术人员基本情况(表4-5);
7.提供拥有的CISP资格人员的CISP证书复印件。
申请组织负责人情况表
表4-1
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息安全技术领域工作经历(年数)
学习和工作简历
业绩
申请组织技术负责人情况
表4-2
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息安全技术领域工作经历(年数)
学习和工作简历
业绩
申请组织质量管理负责人情况
表4-3
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息安全技术领域工作经历(年数)
学习和工作简历
业绩
与安全风险评估服务相关的所有人员名单
表4-4
序号
姓 名
性别
学历/职称
专业
岗位
所属部门
备注
总人数
注:
与安全风险评估服务相关的所有人员,包括管理、业务、技术、质量、行政等各方面相关的人员。
安全服务专业技术人员基本情况
表4-5
序号
部门名称
姓名
身份证号
毕业专业
毕业时间
学历/职称
安全服务证书
从事岗位
技术特长
备注
安全风险评估服务人员总人数
公司总人数
注:
将CISP获证人员在备注栏中予以标注。
五、申请单位的基本技术能力
本项根据表内容详细填写,包括:
1.自主开发产品情况(表5-1);
2.工作环境设施情况(表5-2);
3.常用安全风险评估服务工具情况(表5-3);
4.安全服务渠道(表5-4)。
单位技术能力基本情况表
表5-1
自主开发产品情况
产品名称
产品概述
产品功能和特点
产品获资质情况
表5-2
工作环境设施情况
分类
型号
数量
服务器
工作站
网络设备
网络安全设备
其他
表5-3
常用安全风险评估工具
名称
功能描述
版本
工具提供商或开发人员
表5-4
服务渠道
类别
具体内容
网址
各地办事处、代理
服务热线号码
其它渠道
六、申请单位安全工程服务业绩
本项要求:
1.按照表6-1中格式详细填写,并加盖单位公章;
2.填写最近两个年度承接的包含“安全风险评估服务”内容的项目(以合同签订时间为准);
3.项目名称请严格按照合同填写(要包括签订单位、服务内容等完整的信息);
4.项目请务必按应用领域或行业顺序填写;
5.完成的项目在“进展情况”中注明,并将合计填入“完成的项目总金额”;
6.提供所有已验收项目的验收报告;
7.注意填写数据以“万元”为单位;
8.提供项目承接合同的复印件。
申请单位近两年安全风险评估服务项目汇总表
表6-1单位:
万元
序号
项目名称
(包含签定单位信息)
项目所属
行业
合同金额
风险评估
服务费用
其他费用
风险评估服务费用比例
项目内容
项目进展情况
验收
情况
备注
1
2
3
4
5
6
7
8
9
10
11
12
合计
其中完成的项目总金额
注:
如果项目是合作完成的,请在“备注”栏中说明合作单位,并详细描述自身所需完成的工作任务和项目费用。
七、申请单位的项目与组织管理能力
本项包括以下内容:
1.风险评估服务管理体系和管理职责;
2.资源管理;
3.项目过程管理。
7.1管理体系和管理职责
本项包括以下要求:
1.描述申请单位覆盖“安全风险评估服务”业务的管理体系的建立情况,包括该业务体系建立所依据的标准、体系建立的时间、体系运行情况、相关体系文件的建立情况等。
体系中的组织结构图、部门职责、人员岗位与职责等,要有“安全风险评估服务”内容的明确定义;
2.提供一份完整的管理体系文件,如,质量手册。
表7-1
管理体系和管理职责情况描述
制定的相关规范包括:
1.
7.2资源管理能力
本项包括以下要求:
1.描述申请单位人力资源、设备资源、信息资源的管理情况,包括是否建立了指导人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档;
2.描述如何进行资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的;
3.提供一份人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档,如,程序文件。
表7-2
资源管理情况描述
制定的相关规范包括:
1.
7.3项目过程管理能力
本项包括以下要求:
1.描述申请单位项目过程管理情况,包括是否建立了规范和指导客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理等的规范性文档;
2.描述具体市如何进行客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的;
3.提供一份客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的规范性文档。
表7-3
项目过程管理情况描述
制定的相关规范包括:
1.
八、申请单位安全风险评估服务过程能力
本项包括以下内容:
1.风险评估准备;
2.评估安全对系统的影响的能力;
3.评估系统安全威胁的能力;
4.评估系统脆弱性的能力;
5.评估已有安全措施的能力;
6.评估系统安全风险的能力;
7.检验与证实系统安全性的能力。
8.1风险评估准备能力
本项包括以下要求:
1.描述如何做好风险评估前期的准备的,包括是否建立了规范性文档,是否配备了相应资源等;
2.提供一份具体包含风险评估准备工作的规范,如风险评估实施规范,风险评估实施方案等。
表8-1
风险评估准备能力情况描述
制定的相关规范包括:
1.
8.2安全风险评估服务的实施能力
本项包括以下要求:
1.描述风险服务过程的规范程度,包括是否建立了指导威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档,可制定一个文档,或多个文档;
2.描述在具体项目中是如何进行威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的;
3.提供一份威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档。
表8-2
工程过程能力情况描述
制定的相关规范包括:
1.
8.3保证过程能力
本项包括以下要求:
1.描述保证过程能力的程度,包括是否建立了指导如何检验与证实系统安全性的规范性文档;
2.描述如何进行检验与证实系统安全性的;
3.提供一份检验与证实系统安全性的文档。
表8-3
保证过程能力情况描述
九、申请单位获奖、资格授权情况
表9-1
获奖情况
序 号
项目名称
获奖等级
获奖时间
项目带头人
授奖单位
1
2
3
4
资格授权情况
序 号
授权资格名称
授权范围
授权时间
授权期限
授权单位
1
2
3
4
其它资质
序 号
资质名称
资质范围
资质证书号码
资质期限
发证单位
1
2
3
4
一十、申请单位在信息安全服务方面的发展规划
表10-1
未来三年的发展规划
一十一、申请单位其他说明情况
表11-1
近三年申请单位是否有项目验收未通过的情况?
如有请说明原因。
申请单位是否有违犯知识产权保护等有关法律的现象?
如有请说明原因
其它需要说明的问题
申请单位声明
本单位申请国家信息安全工程服务资质,愿意遵守《信息安全服务资质评估准则》及其配套规章的规定,按照中国信息安全测评中心的有关程序和规范要求,接受有关资质测评、证书管理、证后监督等全过程管理规定,包括被暂停或撤消证书时停止宣传,并交回资质证书的规定。
同时我们承诺,本次申请不论获准与否,均按规定及时缴纳申请安全工程服务资质的有关费用,并对申请过程中涉及的所有信息保密,保护中国信息安全测评中心的所有权。
法定代表人(签名):
申请单位(盖章):
年月日