QOT-0450信息安全安全集成服务资质认证申请书.doc
《QOT-0450信息安全安全集成服务资质认证申请书.doc》由会员分享,可在线阅读,更多相关《QOT-0450信息安全安全集成服务资质认证申请书.doc(14页珍藏版)》请在冰点文库上搜索。
申请编号:
信息系统安全集成服务
资质认证申请书
(第1版)
申请组织(盖章):
申请日期:
中国信息安全认证中心制
中国信息安全认证中心第Ⅰ页共Ⅰ页
信息系统安全集成服务资质认证申请书
目录
填表须知 1
申请信息 2
1. 申请组织基本情况 3
2. 申请组织业绩要求 3
3. 申请组织从事信息系统安全集成服务的人员情况 3
4. 申请组织管理情况 4
5. 申请组织设备、设施与环境情况 4
6. 申请组织信息系统安全集成服务能力 4
7. 信息系统安全集成服务过程要求 5
7.1 集成准备阶段 5
7.2 方案设计阶段 5
7.3 建设实施阶段 5
7.4 安全保证阶段 6
申请组织声明 7
中国信息安全认证中心第I页
信息系统安全集成服务资质认证申请书
填表须知
申请组织在正式填写本申请书前,须认真阅读并理解以下内容:
1.申请组织应仔细阅读ISCCC-SV-003:
2011《信息系统安全集成服务资质认证实施规则》、GB/T20261-2006《信息技术系统安全工程能力成熟度模型》、ISO/IEC21827:
2008《信息技术系统安全工程能力成熟度模型》,并按照要求如实、详细地填写本申请书所有内容。
(由企业组织人员熟悉相关内容,其中涉及技术、管理、工程等方面的内容,要求相关人员组成一个专题工作组,共同协调完成相关内容的学习)
2.申请组织应按照本申请书规定格式进行填写。
若表格空间不够,可另加附页。
3.申请组织须提交《信息系统安全集成服务资质认证申请书》(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
(需要提供的企业资信资料及各项证明资料,提供电子扫描文件)
申请信息
1.申请组织的性质
□A类(不含外资背景)
□B类(外资背景)
2.申请类型
□初次认证
□再认证
□变更认证
3.申请服务资质级别
□一级
□二级
□三级
1.申请组织基本情况
申请组织全称(中文):
申请组织全称(英文):
法定代表人姓名:
职务:
联系人姓名:
职务:
地址:
邮政编码:
电子邮箱:
网址:
联系方式:
电话:
传真:
手机:
本项还需提交以下资料:
1)申请单位的基本情况介绍;(主要阐述企业发展历程、现状、发展规划)
2)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件;
3)法人机构代码证或副本的复印件;
4)从事信息系统安全集成服务的相关资质证书复印件;(首次申请不提供,如果有其他机构提供的安全服务类相关资质,可提供参考)
5)提供近两年的资产运营情况,财务审计报告;如有财务亏损或其他异常状况发生,并提供相应的证明材料;(由第三方会计师事务所提供审计)
6)申请组织的固定办公场所证明材料;(提供租房协议或产权证书复印件)
7)申请组织部门职能(包括与信息安全系统集成服务相关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述)。
(提供组织机构视图,并就视图中各职能部门的职责划分进行描述)
2.申请组织业绩要求
本项应包括以下内容:
符合相关资质等级要求的近三年内完成的信息系统安全集成项目案例,并形成列表(附表1),对于已完成的项目提供合同复印件及完成的证明材料。
(包括合同正本、附件及验收报告,如果有第三方机构测评的报告,一并提交;安全产品如果经第三测评机构测评,提交测评报告;涉及军方的项目,如果属于涉密期,需军方出具涉密证明。
)
3.申请组织从事信息系统安全集成服务的人员情况
本项应包括以下内容:
1)信息系统安全集成服务相关人员汇总表(附表2);(依据标准要求:
三级10人以上、二级20人以上、一级30人以上;具有计算机信息安全相关专业学历背景或信息安全相关项目上工作:
专科4年、本科2年、研究生以上学历1年以上人员可视为信息安全集成服务人员)
2)组织负责人情况(附表3);
3)技术负责人情况(附表3);
4)信息系统安全集成服务负责人情况(附表3);
5)质量管理负责人情况(附表3);
6)主要信息系统安全集成服务人员情况(附表3);(主要开发人员、工程负责人、项目经理、系统设计人员、服务负责人员)
7)注册安全服务人员的证书复印件;(通过CISAW认证的人员,三级2名;二级6名;一级10名;)
8)主要服务人员的任职、学历、职称、业绩证明材料复印件;(由企业出具任职证明书,业绩证明需要客户提供证明;如果有相关获奖证书,可提供)
9)信息系统安全集成服务人员签订的保密协议复印件。
(与企业签署的保密协议)
4.申请组织管理情况
本项应包括以下内容:
1)确保客户信息安全、可控的管理规定;(提供与企业签署的保密承诺书;提供企业内部可控的管理规范及相关的程序文件,过程记录文件)
2)人员保密管理要求、保密岗位与职责,对服务人员进行保密教育与培训的计划及落实情况;(提供与员工签署的保密协议,保密培训记录、培训计划等。
提供保密岗位职责)
3)人员管理规定,包括人员在任用之前、任用中、任用的终止或变更的管理要求及对服务人员的信息系统安全集成技能培训计划及落实情况;(提供涉及保密岗位的劳动协议,提供从事信息安全集成服务人员的相关技能资质,如:
安全产品的技能培训资质,技能教育记录等证明文件)
4)服务项目的管理制度,信息系统安全集成项目计划及监督检查情况等;(提供服务管理体系或制度,提供服务体系或制度的执行过程记录。
提供一典型信息安全集成项目的项目执行计划,提供该计划执行得过程记录文件)
5)安全集成服务实施过程中使用的文档模板;(参照ISO/IEC27001:
2005,提供项目中已经使用的文档模板)
6)项目风险管理要求及在项目实施过程中的落实情况;(提供风险管理程序文件,提供风险管理过程记录文件)
7)服务质量持续改进制度及落实情况(一、二级资质要求);(提供服务项目实施中持续改进制度,并就项目开展过程中持续改进过程记录提供相关文件,持续改进结果需得到用户认可。
)
8)参考GB/T22080-2008/ISO/IEC27001:
2005《信息技术安全技术信息安全管理体系要求》标准建立信息安全管理体系并运行三个月以上(一级资质要求)。
(提供参照ISO/IEC27001:
2005建立的质量手册及对应的程序文件,并提供执行过程记录)
5.申请组织设备、设施与环境情况
本项应包括以下内容:
1)信息系统安全集成服务需要的主要检测工具清单;(提供清单,并就清单涉及的项目应用情况进行简单描述。
)
2)具备独立的测试与实验环境介绍及必要的软、硬件设备清单。
(提供软硬件清单,并就独立测试与实验环境简要描述)
6.申请组织信息系统安全集成服务能力
本项应包括以下内容:
1)安全集成的工作流程及操作规范;(提供针对典型安全集成项目的工作流程及操作规范,提供一个典型安全集成项目的过程执行记录。
)
2)根据服务业务的需求具备开发信息安全产品或支持性工具的能力证明材料(一、二级要求);(提供一项信息安全产品或支持性工具的现场演示环境,并提供1个典型信息安全产品或支持性工具的全套项目文件,包括:
需求采集、需求规格说明、系统设计、测试记录、应用集成、用户测试、功能测试、压力测试、用户手册、安装手册、专家测评、验收报告等文件)
3)对市场上的信息安全产品进行功能分析、提出安全策略及对安全产品进行集成的能力(一级要求);(提供针对具体安全集成项目中市场上的信息安全产品集成方案的使用报告;提供安全集成需求分析报告,从中可以清晰看出市场上安全产品的集成应用;提供针对主流安全产品的人员资质培训计相关的技能认证证明。
)
4)经国家(或行业)权威机构或专家组验证一个已完成的信息系统的安全性的证明材料(一级要求)。
(公安部:
计算机信息系统专用产品检测;国安:
中国信息安全测评中测评通过;行业:
政府、电信、移动、金融、电力、石油、铁道等行业的典型应用证明材料,如果涉及军方涉密,则需军方提供证明材料。
)
7.信息系统安全集成服务过程要求
按照ISCCC-SV-003:
2011《信息系统安全集成服务资质认证实施规则》及相关标准对服务过程的具体要求,结合一个已完成的信息系统安全集成服务项目案例,提供以下材料以证明其服务过程能力:
(准备一套典型安全集成项目的全部资料)
7.1集成准备阶段
本项应包括以下内容:
1)信息系统安全集成的需求报告;(需求采集、需求分析、需求设计、需求规格说明等文件)
2)服务合同(与客户、供方分别签订);(包括:
合同正本、附件)
3)保密协议(与客户、供方分别签订);(提供保密协议)
4)服务人员与工具。
(典型项目的工程实施计划中,可清晰了结人员配置及工具配置)
7.2方案设计阶段
本项应提供内容:
1)根据信息系统的安全需求,进行信息安全设计的证明材料;(提供典型项目系统总体设计报告)
2)信息系统安全集成方案的证明材料。
(提供执行合同标的描述的内容或附件中客户认同的安全集成方案;或针对具体安全集成解决方案的技术文档)
7.3建设实施阶段
本项应提供以下内容:
1)根据系统安全集成要求,开发或定制产品(仅一、二级要求)的证明材料;(提供演示环境或相关权威机构的测评报告,或技术设计及开发的相关资料文档)
2)管理安全控制的证明材料;(提供安全管理规范;安全管理过程记录、系统使用手册、安全事故报告及处理流程、安全巡检等证明材料)
3)安全协调的证明材料;(安全需求变更报告,安全加固报告、工程进度报告、用户测试报告等)
4)安全监控的证明材料。
(提供安全巡检,安全漏洞分析,安全事故分析、风险防范、安全应急预案等监控证明材料)
7.4安全保证阶段
本项应包括以下内容:
1)提供信息系统安全集成服务报告;(售后服务体系保障措施及其规范;安全巡检规范;系统升级保障;应急预案;安全事故处理流程等)
2)对安全集成已完成的系统进行检测和验证的证明材料;(用户使用报告;用户验收报告;安全故障排除报告等证明材料)
3)提供第三方证明系统安全的证据。
(权威机构测评;专家测评;用户测评;使用报告;验收报告等)
申请组织声明
我组织正式提出信息系统安全集成服务资质认证申请,承诺申请书中所提供的信息属实,遵守《中华人民共和国认证认可条例》及相关法规,按照中国信息安全认证中心的有关程序和规范要求,接受认证审核及证后监督,遵守认证证书、认证标志使用和公告的规定,并及时缴纳信息系统安全集成服务资质认证相关费用。
法定代表人(签名):
申请组织(盖章):
年月日
中国信息安全认证中心第1页
附表1申请组织信息系统安全集成服务项目汇总表
序号
项目名称
合同金额
软件购置
费用
硬件购置费用
开发与服务费用
其他
合同签订时间
项目验收时间
信息系统安全集成服务资质认证申请书
附表2
申请组织信息系统安全集成服务相关人员汇总表
序号
部门
姓名
身份证号
学历/职称
专业
毕业时间
从事岗位
技术特长
1
2
3
4
5
6
7
8
9
10
11
12
13
14
总人数
安全集成服务人员数目占组织总人数比例
中国信息安全认证中心第3页
信息系统安全集成服务资质认证申请书
附表3
人员情况表
姓 名
性 别
出生年月
职 称
学 历
毕业时间
工作部门
职 务
毕业学校
专业
信息安全技术领域工作经历(年数)
教育和工作简历
主要业绩
中国信息安全认证中心第4页
升级会员 