信息系统安全服务资质认证申请书中国信息安全测评中心.docx

信息系统安全服务资质认证申请书中国信息安全测评中心.docx

《信息系统安全服务资质认证申请书中国信息安全测评中心.docx》由会员分享，可在线阅读，更多相关《信息系统安全服务资质认证申请书中国信息安全测评中心.docx（19页珍藏版）》请在冰点文库上搜索。

信息系统安全服务资质认证申请书中国信息安全测评中心

编号：

国家信息安全测评

信息安全服务资质申请书

（风险评估二级）

申请单位（公章）：

填表日期：

©版权2014—中国信息安全测评中心

2014年5月1日

目录

填表须知3

申请表4

一、申请单位基本情况5

二、申请单位概况6

三、申请单位资产运营情况7

四、申请单位人员情况9

五、申请单位的基本技术能力15

六、申请单位安全工程服务业绩18

七、申请单位的项目与组织管理能力21

7.1管理体系和管理职责22

7.2资源管理能力24

7.3项目过程管理能力26

八、申请单位安全风险评估服务过程能力28

8.1风险评估准备能力29

8.2安全风险评估服务的实施能力31

8.3保证过程能力33

九、申请单位获奖、资格授权情况35

十、申请单位在安全服务方面的发展规划36

十一、申请单位其他说明情况37

申请单位声明38

填表须知

用户在正式填写本申请书前，须认真阅读并理解以下内容：

1．中国信息安全测评中心对下列对象进行测评：

●信息技术产品

●信息系统

●提供信息安全服务的组织

●信息安全专业人员

2．申请单位应仔细阅读《信息安全服务资质申请指南（安全风险评估二级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。

4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章、签字的地方，必须加盖公章、签字，同时提交一份对应的电子文档。

6．本申请书要求提供的附件及证明材料须单独装订成册并编目。

提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。

7．如有疑问，请与中国信息安全测评中心联系。

中国信息安全测评中心

地址：

北京市海淀区上地西路8号院1号楼

邮编：

100085

电话：

（010）82341582或82341568

传真：

82341100

网址：

电子邮箱：

cnitsec@

申请表

中国信息安全测评中心：

我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质测评活动。

1．申请服务类型

□A类（不具有外资背景）

□B类（具有外资背景）

2．申请服务内容

□安全风险评估二级

3．申请类型

□初次申请　　　　　　

□再次申请，第　　　次申请

注：

以上各项均为单选。

申请单位（盖章）：

申请日期：

年月日

一、申请单位基本情况

申请单位全称（中文）：

申请单位全称（英文）：

注册地址：

办公地址：

邮政编码

法定代表人姓名：

职务：

联系人姓名：

职务：

电子邮箱：

联系方式：

电话（）

传真（）

手机（）

工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：

法人机构代码（附法人机构代码证副本复印件）：

已获的国家信息安全服务资质证书号码（附资质证书复印件）：

其他重要的法律文件：

二、申请单位概况

本项包括以下要求：

1.描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；

2.给出总体的组织结构图（应体现组织与安全风险评估服务相关部门的关系）；

3.描述与上述组织结构图相对应的各部门的职能。

应明确涉及“安全风险评估服务”的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理、培训和合同管理等与各部门的对应关系。

三、申请单位资产运营情况

本项包括以下要求：

1.单位近三年资产运营情况（表3－1）（加盖公章）；

2.提供近三年审计报告与信用等级证明材料复印件（若无审计报告请提供加盖公章的资产负债表和损益表）；

3.财务亏损或其它异常状况发生，请说明情况并提供证明材料。

申请组织近三年资产运营情况表

表3－1单位：

万元人民币

近三年资产负债表

年

年

年

年

年

年

资产总额

负债与所有者权益总额

流动资产

负债总额

其

中

应收帐款

其

中

流动负债

平均应收帐款

长期负债

存货

所有者权益

平均存货

其

中

实收资本

固定资产原值

未分配利润

固定资产净值

近三年损益表

年

年

年

年

年

年

收入总额

财务费用

其

中

业务收入

营业利润

其中风险评估服务收入

投资收益

销售成本

利润总额

销售费用

净利润

销售利润

管理费用

注：

安全风险评估服务费用包括：

四、申请单位人员情况

本项包括以下要求：

1.单位负责人情况（表4－1）；

2.安全技术负责人情况（表4－2）；

3.质量管理负责人情况（表4－3）；

4.以上负责人的任职、学历、职称、业绩证明材料复印件；

5.与安全风险评估服相关（包括管理、业务、技术、质量、行政等方面）的所有人员名单（表4－4）；

6.安全风险评估服务专业技术人员基本情况（表4－5）；

7.提供拥有的CISP资格人员的CISP证书复印件。

申请组织负责人情况表

表4－1

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

申请组织技术负责人情况

表4－2

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

申请组织质量管理负责人情况

表4－3

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

与安全风险评估服务相关的所有人员名单

表4－4

序号

姓　名

性别

学历/职称

专业

岗位

所属部门

备注

总人数

注：

与安全风险评估服务相关的所有人员，包括管理、业务、技术、质量、行政等各方面相关的人员。

安全服务专业技术人员基本情况

表4－5

序号

部门名称

姓名

身份证号

毕业专业

毕业时间

学历/职称

安全服务证书

从事岗位

技术特长

备注

安全风险评估服务人员总人数

公司总人数

注：

将CISP获证人员在备注栏中予以标注。

五、申请单位的基本技术能力

本项根据表内容详细填写，包括：

1.自主开发产品情况（表5－1）；

2.工作环境设施情况（表5－2）；

3.常用安全风险评估服务工具情况（表5－3）；

4.安全服务渠道（表5－4）。

单位技术能力基本情况表

表5－1

自主开发产品情况

产品名称

产品概述

产品功能和特点

产品获资质情况

表5－2

工作环境设施情况

分类

型号

数量

服务器

工作站

网络设备

网络安全设备

其他

表5－3

常用安全风险评估工具

名称

功能描述

版本

工具提供商或开发人员

表5－4

服务渠道

类别

具体内容

网址

各地办事处、代理

服务热线号码

其它渠道

六、申请单位安全工程服务业绩

本项要求：

1.按照表6－1中格式详细填写，并加盖单位公章；

2.填写最近两个年度承接的包含“安全风险评估服务”内容的项目（以合同签订时间为准）；

3.项目名称请严格按照合同填写（要包括签订单位、服务内容等完整的信息）；

4.项目请务必按应用领域或行业顺序填写；

5.完成的项目在“进展情况”中注明，并将合计填入“完成的项目总金额”；

6.提供所有已验收项目的验收报告；

7.注意填写数据以“万元”为单位；

8.提供项目承接合同的复印件。

申请单位近两年安全风险评估服务项目汇总表

表6－1单位：

万元

序号

项目名称

（包含签定单位信息）

项目所属

行业

合同金额

风险评估

服务费用

其他费用

风险评估服务费用比例

项目内容

项目进展情况

验收

情况

备注

1

2

3

4

5

6

7

8

9

10

11

12

合计

其中完成的项目总金额　

注：

如果项目是合作完成的，请在“备注”栏中说明合作单位，并详细描述自身所需完成的工作任务和项目费用。

七、申请单位的项目与组织管理能力

本项包括以下内容：

1.风险评估服务管理体系和管理职责；

2.资源管理；

3.项目过程管理。

7.1管理体系和管理职责

本项包括以下要求：

1.描述申请单位覆盖“安全风险评估服务”业务的管理体系的建立情况，包括该业务体系建立所依据的标准、体系建立的时间、体系运行情况、相关体系文件的建立情况等。

体系中的组织结构图、部门职责、人员岗位与职责等，要有“安全风险评估服务”内容的明确定义；

2.提供一份完整的管理体系文件，如，质量手册。

表7－1

管理体系和管理职责情况描述

制定的相关规范包括：

1.

7.2资源管理能力

本项包括以下要求：

1.描述申请单位人力资源、设备资源、信息资源的管理情况，包括是否建立了指导人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档；

2.描述如何进行资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的；

3.提供一份人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档，如，程序文件。

表7－2

资源管理情况描述

制定的相关规范包括：

1.

7.3项目过程管理能力

本项包括以下要求：

1.描述申请单位项目过程管理情况，包括是否建立了规范和指导客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理等的规范性文档；

2.描述具体市如何进行客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的；

3.提供一份客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的规范性文档。

表7－3

项目过程管理情况描述

制定的相关规范包括：

1.

八、申请单位安全风险评估服务过程能力

本项包括以下内容：

1．风险评估准备；

2．评估安全对系统的影响的能力；

3．评估系统安全威胁的能力；

4．评估系统脆弱性的能力；

5．评估已有安全措施的能力；

6．评估系统安全风险的能力；

7．检验与证实系统安全性的能力。

8.1风险评估准备能力

本项包括以下要求：

1.描述如何做好风险评估前期的准备的，包括是否建立了规范性文档，是否配备了相应资源等；

2.提供一份具体包含风险评估准备工作的规范，如风险评估实施规范，风险评估实施方案等。

表8－1

风险评估准备能力情况描述

制定的相关规范包括：

1.

8.2安全风险评估服务的实施能力

本项包括以下要求：

1.描述风险服务过程的规范程度，包括是否建立了指导威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档，可制定一个文档，或多个文档；

2.描述在具体项目中是如何进行威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的；

3.提供一份威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档。

表8－2

工程过程能力情况描述

制定的相关规范包括：

1.

8.3保证过程能力

本项包括以下要求：

1.描述保证过程能力的程度，包括是否建立了指导如何检验与证实系统安全性的规范性文档；

2.描述如何进行检验与证实系统安全性的；

3.提供一份检验与证实系统安全性的文档。

表8－3

保证过程能力情况描述

九、申请单位获奖、资格授权情况

表9－1

获奖情况

序　号

项目名称

获奖等级

获奖时间

项目带头人

授奖单位

1

2

3

4

资格授权情况

序　号

授权资格名称

授权范围

授权时间

授权期限

授权单位

1

2

3

4

其它资质

序　号

资质名称

资质范围

资质证书号码

资质期限

发证单位

1

2

3

4

一十、申请单位在信息安全服务方面的发展规划

表10－1

未来三年的发展规划

一十一、申请单位其他说明情况

表11－1

近三年申请单位是否有项目验收未通过的情况？

如有请说明原因。

申请单位是否有违犯知识产权保护等有关法律的现象？

如有请说明原因

其它需要说明的问题

申请单位声明

本单位申请国家信息安全工程服务资质，愿意遵守《信息安全服务资质评估准则》及其配套规章的规定，按照中国信息安全测评中心的有关程序和规范要求，接受有关资质测评、证书管理、证后监督等全过程管理规定，包括被暂停或撤消证书时停止宣传，并交回资质证书的规定。

同时我们承诺，本次申请不论获准与否，均按规定及时缴纳申请安全工程服务资质的有关费用，并对申请过程中涉及的所有信息保密，保护中国信息安全测评中心的所有权。

法定代表人（签名）：

申请单位（盖章）：

年月日