信息系统审计类一级中国信息安全测评中心.docx

信息系统审计类一级中国信息安全测评中心.docx

《信息系统审计类一级中国信息安全测评中心.docx》由会员分享，可在线阅读，更多相关《信息系统审计类一级中国信息安全测评中心.docx（22页珍藏版）》请在冰豆网上搜索。

信息系统审计类一级中国信息安全测评中心

国家信息安全测评

信息安全服务资质申请书

（信息系统审计类一级）

（试行）

申请单位（公章）：

填表日期：

©版权2017—中国信息安全测评中心

2017年8月

填表须知

用户在正式填写本申请书前，须认真阅读并理解以下内容：

1.中国信息安全测评中心对下列对象进行测评：

⏹信息技术产品

⏹信息系统

⏹提供信息安全服务的组织和单位

⏹信息安全专业人员

2.申请单位应仔细阅读《信息系统审计服务资质申请指南》，并按照其要求如实、详细地填写本申请书所有项目。

3.申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。

4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5.申请单位须提交本申请书（不含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交完整的申请书、附件及证明材料的电子文档。

6．本申请书要求提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。

7.如有疑问，请与中国信息安全测评中心联系。

中国信息安全测评中心

地址：

北京市海淀区上地西路8号院1号楼

邮编：

100085

电话：

（010）82341188或82341118

传真：

（010）82341100

网址：

申请表

中国信息安全测评中心：

我单位正式提出信息系统审计服务资质申请，并保证将按照信息系统审计服务资质的要求，提供所需的所有真实信息，并配合资质审核活动。

1.申请服务类型

□A类（不具有外资背景）□B类（具有外资背景）

2.申请服务内容

□信息系统审计服务

3.申请类型

□初次申请

□再次申请，第　　　次申请

□申请级别

（级别：

□一级□二级□三级□四级□五级）

注：

各项均为单选。

申请单位（盖章）：

申请日期：

年月日

一、申请单位基本情况

申请单位全称（中文）：

申请单位全称（英文）：

地址：

邮政编码

注册地址：

法定代表人姓名：

职务：

联系人姓名：

职务：

联系方式：

电话：

传真：

手机：

电子邮箱：

申请单位属性：

服务供应商产品提供商其它

证明材料：

1）统一社会信用代码或工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）：

2）法人机构代码（附法人机构代码证副本复印件）：

3）其他重要法律文件

二、申请单位组织结构

本项应包括以下内容：

1.申请单位基本情况（包括单位基本信息、规模大小、隶属关系、发展历史、业务结构、业绩等）；

2.申请单位组织结构图（应突出标识出审计服务相关落地部门）；

3.申请单位部门职能描述（包括与信息系统审计服务有关的管理、研发、实施、质量保证、客户服务、人力资源管理、采购、合同管理等）。

三、申请单位近三年资产运营情况

本项应包括以下内容：

1.申请单位近三年资产运营情况（加盖公章）（表3-1）；

2.近三年审计报告与信用等级证明材料（若无审计报告请提供加盖公章的资产负债表和损益表）；

3.统计信息系统审计服务相关费用；

4.财务亏损或其它异常状况发生请说明并提供证明材料。

表3-1：

申请单位近三年资产运营情况表

单位：

万元人民币

近三年资产负债表

年

年

年

年

年

年

资产总额

负债与所有者权益总额

流动资产

负债总额

其

中

应收帐款

其

中

流动负债

平均应收帐款

长期负债

存货

所有者权益

平均存货

其

中

实收资本

固定资产原值

未分配利润

固定资产净值

近三年损益表

年

年

年

年

年

年

收入总额

财务费用

其

中

业务收入

营业利润

其中信息系统审计服务收入

投资收益

销售成本

利润总额

销售费用

净利润

销售利润

管理费用

四、申请单位人员情况

本项应包括以下内容：

1.申请单位负责人情况（表4-1）；

2.申请单位技术负责人情况（表4-2）；

3.申请单位信息系统审计服务负责人情况（表4-3）；

4.以上人员的任职、学历、职称、业绩证明材料复印件；

5.信息系统审计服务专业技术人员名单（表4-4）；

6.提供2名CISP-A（其中1名可由CISP代替）资质人员的证书情况（表4-5）；

7.提供2名CISP-A证书复印件。

表4-1：

申请单位负责人情况表

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全或信息系统审计领域工作经历（年数）

学习和工作简历

业绩

表4-2：

申请单位技术负责人情况

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全或信息系统审计领域工作经历（年数）

学习和工作简历

业绩

表4-3：

申请单位信息系统审计服务负责人情况

姓名

性别

出生年月

职务

职称

学历

毕业时间

毕业学校

毕业专业

信息安全或信息系统审计领域工作经历（年数）

学习和工作简历

业绩

表4-4：

信息系统审计服务专业人员基本情况

序号

部门名称

姓名

身份证号

毕业专业

毕业时间

学历

从事岗位

技术特长

备注

信息系统审计服务人员数量

公司总人数

学历统计

其中，博士名，研究生名，本科名，大专名，其他名。

表4-5：

CISP-A资质人员的证书情况

序号

姓名

证书号

有效期至

入职时间

五、申请单位信息系统审计能力基本情况

本项包括以下三项内容：

1.申请单位工作环境设施情况（表5-1）；

2.申请单位常用信息系统审计服务工具情况（表5-2）；

3.申请单位服务网站情况（表5-3）。

表5-1：

申请单位工作环境设施情况表

工作环境设施情况

分类

型号

数量

服务器

工作站

网络设备

网络安全工具

其他

表5-2：

申请单位常用信息系统审计服务工具表

常用信息系统审计服务工具情况

名称

功能描述

版本

工具提供商或开发人员

表5-3：

申请单位服务网站情况表

服务网站情况

网址

信息系统审计服务内容

更新频率

维护人数

六、申请单位的信息系统审计服务过程能力

本项应包括以下九项内容：

1.编制信息系统审计计划；

2.组建信息系统审计项目组；

3.准备信息系统审计；

4.组织实施信息系统审计活动；

5.编制和交付信息系统审计报告；

6.结束信息系统审计活动；

7.实施信息系统审计后续活动。

6.1编制信息系统审计计划能力

本项要求：

1.详细描述组织是如何进行系统审计活动的有效组织和规划的；

2.提供一份具体审计活动中的关于信息系统审计计划的相应文档或记录作为证据，内容应包括：

—审计的目标；

—审计的范围与程度、数量、类型、时间和地点等安排；

—审计依据；

—审计方法；

—所需的资源；

—处理保密性、信息安全、健康和安全，以及其它相关事宜的安排；

—审计风险的评估和管理等。

表6-1：

描述如何确定信息系统审计计划

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.2启动信息系统审计的能力

本项要求：

1.详细描述启动信息系统审计时所应开展的关键活动；

2.提供一份具体审计服务中关于信息系统审计启动的相应文档、记录等作为证据，内容应包括：

—建立项目组，包括任命审计组长，指定审计组成员，以及特定审计所需的技术专家；描述审计组组织结构、成员及职责的文件；

—与被审计方建立初步联系；

—编制审计实施方案等。

表6-2：

描述如何启动信息系统审计

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.3准备信息系统审计活动的能力

本项要求：

1.详细描述准备信息系统审计活动的内容；

2.提供一份具体审计活动中关于准备信息系统审计活动的相应文档、记录作为证据，内容应包括：

—审前调研；

—审计工具准备等。

表6-3：

描述准备信息系统审计活动内容

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.4组织实施信息系统审计活动的能力

本项要求：

1.详细描述是如何组织实施信息系统审计活动的；

2.提供一份具体审计活动中关于信息系统审计组织实施活动的文档、记录作为证据。

内容应包括：

—举行首次会议；

—了解被审计信息系统所承载的业务活动；

—掌握与信息系统活动相关的文件和记录；

—熟悉被审计对象所处的物理环境；

—分析和判断审计中的重点内容；

—形成审前调研报告等。

表6-4：

描述如何组织实施审计活动内容

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.5编制和交付信息系统审计报告的能力

本项要求：

1.详细描述是如何编制和交付信息系统审计报告的；

2.提供一份具体审计活动中关于信息系统审计报告的相应文档、记录作为证据。

内容应包括：

—审计目标；

—审计范围；

—审计依据；

—明确审计委托方；

—明确审计组和被审计方在审计中的参与人员；

—进行审计活动的时间和地点；

—审计证据和审计发现；

—审计建议（审计目标有要求时）；

—对审计依据满足程度的描述。

表6-5：

描述如何编制信息系统审计报告

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.6结束信息系统审计活动的能力

本项要求：

1.详细描述信息系统审计活动结束时的工作内容；

2.提供一份具体审计活动中的相应文档、记录作为证据。

内容应包括：

—相关文件的归档或销毁记录；

—就披露相关文件通知审计委托方和被审计方的记录（如果披露情况时）；

—审计工作总结等。

表6-6：

描述结束信息系统审计活动

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.7实施信息系统审计后续活动的能力

本项要求：

1.详细描述实施信息系统审计的后续活动内容；

2.提供一份具体审计活动中关于实施信息系统审计后续活动的相关文档、记录作为证据。

内容应包括：

—跟踪审计记录等。

表6-7：

描述如何实施信息系统审计后续活动

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

七、申请单位的信息系统审计服务的项目与组织过程能力

本项应包括以下内容：

1.审计活动的质量保证；

2.审计活动的风险管理；

3.审计活动的监控；

4.审计活动的沟通、协调；

5.审计机构和审计人员的职责和责任；

6.审计机构和审计人员职业道德规范；

7.提供不断发展的技能和知识。

7.1审计服务的质量保证

本项要求：

1.详细描述组织是如何实现审计活动的质量保证的；

2.提供具体审计活动中组织为实现质量保证的相应文档、记录作为证据。

表7-1：

描述如何实现审计活动的质量保证的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.2审计服务的风险管理

本项要求：

1.详细描述组织是如何管理审计服务活动的风险的；

2.提供具体审计活动中控制审计服务风险的相应文档、记录作为证据。

表7－2

描述如何管理审计活动的风险的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.3审计活动监控

本项要求：

1.详细描述组织是如何监控审计活动的开展的，包括审计活动制导，资源跟踪，计划跟踪，问题分析等；

2.提供具体审计活动中监控审计活动的相应文档、记录作为证据。

表7－3

描述如何进行审计活动的监控的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.4审计活动的沟通、协调

本项要求：

1.详细描述组织是如何进行审计相关方的沟通和协调的，包括建立的协调机制，系统安全协调的技术方法、具体措施等；

2.提供具体审计活动进行沟通、协调的相应文档、记录作为证据。

表7－4

描述如何进行沟通、协调的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.5审计机构和审计人员的职责和责任

本项要求：

1.详细描述审计机构和审计人员的职责和责任定义和约束；

2.提供审计机构和审计人员的审计相关职责和责任的的相应文档、记录作为证据。

表7－5

描述审计机构和审计人员的职责和责任要求

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.6审计机构和审计人员职业道德规范

本项要求：

1.详细描述审计机构和审计人员职业道德规范情况；

2.提供具体审计机构和审计人员关于职业道德规范的相应文档、记录作为证据。

表7－6

描述审计机构和审计人员职业道德规范情况

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.7提供不断发展的技能和知识

本项要求：

1.详细描述组织是如何提供不断发展的审计等相关领域知识和技能的；

2.提供关于提供不断发展的知识和技能的相应文档、记录。

表7－7

描述如何提供不断发展的技能和知识

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

八、申请单位信息系统审计服务项目汇总

本项要求：

1.按照表8-1格式详细填写，并加盖单位公章；

2.填写最近两个年度承接的信息系统审计服务项目（以合同签订时间为准）；

3.项目名称请严格按照合同填写；

4.项目请务必按应用领域或行业顺序填写；

5.完成项目在“进展情况”中注明，并将合计填入“完成的项目总金额”，请注意项目金额的单位为“万元”；

6.提供项目承接合同的复印件。

表8-1：

申请单位近两年信息系统审计服务项目汇总表

单位：

万元

序号

项目名称

项目所属行业

合同

金额

合同

日期

审计服务费用

信息系统审计服务费用所占比例

审计

对象

项目进展

情况

验收

情况

备注

1

2

3

4

5

6

7

8

9

10

11

合计

其中完成的项目总金额

九、申请单位获奖、资格授权情况

表9-1：

申请单位获奖、资格授权情况

获

奖

情

况

序　号

项目名称

获奖等级

获奖时间

项目带头人

授奖单位

1

2

3

4

资格授权情况

序　号

授权资格名称

授权范围

授权时间

授权期限

授权单位

1

2

3

4

申请单位其它资质

序　号

资质名称

资质范围

认证时间

资质期限

认证单位

1

2

3

4

一十、申请单位在信息系统审计服务方面的发展规划

表10-1：

申请单位在未来三年的发展规划

申请单位在未来三年的发展规划

一十一、申请单位其他说明情况

表11-1：

申请单位其他说明情况

近三年申请单位是否有项目验收未通过的情况？

如有请说明原因

申请单位是否有违犯知识产权保护等有关法律的现象？

如有请说明原因

其它需要说明的问题

申请单位声明

本单位申请国家信息安全服务资质，愿意遵守信息安全服务资质评估准则及其配套规章的规定，按照中国信息安全测评中心的有关程序和规范要求，接受有关资质测评、证书管理、证后监督等全过程管理规定，包括被暂停或撤消证书时停止宣传，并交回资质证书的规定。

同时我们承诺，本次申请不论获准与否，均按规定及时缴纳申请安全服务资质的有关费用，并对申请过程中涉及的所有信息保密，保护中国信息安全测评中心的所有权。

法定代表人（签名）：

申请单位（盖章）：

年月日