信息系统安全服务资质认证申请书中国信息安全测评中心Word格式文档下载.docx
《信息系统安全服务资质认证申请书中国信息安全测评中心Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息系统安全服务资质认证申请书中国信息安全测评中心Word格式文档下载.docx(19页珍藏版)》请在冰豆网上搜索。
6.本申请书要求提供的附件及证明材料须单独装订成册并编目。
提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
7.如有疑问,请与中国信息安全测评中心联系。
中国信息安全测评中心
地址:
北京市海淀区上地西路8号院1号楼
邮编:
100085
电话:
(010)82341582或82341568
传真:
82341100
网址:
电子邮箱:
cnitsec@
申请表
中国信息安全测评中心:
我单位正式提出信息安全服务资质申请,并保证将按照信息安全服务资质的要求,提供所需的所有真实信息,并配合资质审核活动。
1.申请服务类型
□A类(不具有外资背景)
□B类(具有外资背景)
2.申请服务内容
□安全风险评估一级
3.申请类型
□初次申请
□再次申请,第 次申请
注:
以上各项均为单选。
申请单位(盖章):
申请日期:
年月日
一、
申请单位基本情况
申请单位全称(中文):
申请单位全称(英文):
注册地址:
办公地址:
邮政编码
法定代表人姓名:
职务:
联系人姓名:
职务:
联系方式:
电话()
传真()
手机()
工商登记注册号(附申请单位法人营业执照副本或上级主管部门批准成立文件复印件):
法人机构代码(附法人机构代码证副本复印件):
已获的国家信息安全服务资质证书号码(附资质证书复印件):
其他重要的法律文件:
二、申请单位概况
本项应包括以下内容:
1.描述单位基本情况(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等);
2.申请单位组织结构图(突出标明安全风险评估业务所在部门);
3.描述与上述组织结构图相对应的各部门的职能。
(其中要包括与“安全风险评估服务”有关的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等工作内容)。
三、申请单位近三年资产运营情况
1.申请单位近三年资产运营情况(表3-1)(加盖公章);
2.提供近三年审计报告与信用等级证明材料复印件(若无审计报告请提供加盖公章的资产负债表和损益表);
3.财务亏损或其它异常状况发生,请说明情况并提供证明材料。
申请单位近三年资产运营情况表
表3-1单位:
万元人民币
近三年资产负债表
年
资产总额
负债与所有者权益总额
流动资产
负债总额
其
中
应收帐款
其
中
流动负债
平均应收帐款
长期负债
存货
所有者权益
平均存货
实收资本
固定资产原值
未分配利润
固定资产净值
近三年损益表
收入总额
财务费用
业务收入
营业利润
其中风险评估服务收入
投资收益
销售成本
利润总额
销售费用
净利润
销售利润
管理费用
其中安全风险评估服务收入包括:
四、申请单位人员情况
1.申请单位负责人情况(表4-1);
2.申请单位技术负责人情况(表4-2);
3.申请单位安全服务负责人情况(表4-3);
4.以上负责人的任职、学历、职称、业绩证明材料复印件;
5.信息安全风险评估服务专业技术人员名单(表4-4);
6.提供拥有的CISP资格人员的CISP证书复印件。
申请单位负责人情况表
表4-1
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息安全技术领域工作经历(年数)
学习和工作简历
业绩
申请单位技术负责人情况
表4-2
申请单位信息安全风险评估负责人情况
表4-3
信息安全风险评估服务专业技术人员基本情况
表4-4
序号
部门名称
身份证号
学历
职称
从事岗位
技术特长
备注
安全风险评估服务人员数量
公司总人数
将CISP获证人员在备注栏中予以标注。
五、申请单位技术能力基本情况
本项包括以下四项内容:
1.自主开发产品情况,并提交相关产品资质复印件(表5-1);
2.工作环境设施情况(表5-2);
3.常用安全风险评估服务工具情况(表5-3);
4.信息安全风险评估服务渠道情况(表5-4)。
申请单位技术能力基本情况表
表5-1
自主开发产品情况
产品名称
产品概述
产品功能和特点
产品获资质情况
表5-2
工作环境设施情况
分类
型号
数量
服务器
工作站
网络设备
网络安全设备
其他
表5-3
常用安全风险评估工具
名称
功能描述
版本
工具提供商或开发人员
表5-4
服务渠道
类别
具体内容
网址
各地办事处、代理
服务热线号码
其它渠道
六、申请单位的安全风险评估服务过程能力
本项包括以下六项内容:
1.风险评估准备;
2.评估安全对系统的影响的能力;
3.评估系统安全威胁的能力;
4.评估系统脆弱性的能力;
5.评估已有安全措施的能力;
6.评估系统安全风险的能力。
填写要求:
在“详细描述”中对所核查的能力进行文字描述说明,在“备注”中填写对应能力的相关证据名称,应具体到每个文档或记录的详细名称,如《**系统风险评估报告》、《**核查表》等。
提供的证据资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
6.1风险评估的准备
本项要求:
1.请详细描述申请单位是如何进行风险评估的前期准备工作的,包括确定风险评估的目标、范围、方法及流程等。
2.提供一份具体项目中的风险评估实施的相应文档、记录,如,安全风险评估工作计划、方案等。
表6-1
描述如何在风险评估前期如何进行准备的
详细描述
请在“详细描述”中进行文字描述说明,在“备注”中注明证据名称。
6.2评估系统安全威胁的能力
1.详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征的;
2.详细描述申请组织是如何对威胁的可能性进行评估的;
3.提供一份具体项目中关于评估系统安全威胁的相应文档、记录,如系统面临威胁识别与分析等。
表6-2
描述如何对系统安全威胁进行评估
6.3评估系统脆弱性的能力
1.详细描述申请单位是如何对系统的脆弱性进行评估的,包括所选择的分析方法、工具,收集、分析、合成系统的脆弱性数据等;
2.提供一份具体项目中关于系统脆弱性评估的相应文档、记录,如,人工核查表单、工具扫描报告、系统脆弱性列表等。
表6-3
描述如何评估系统脆弱性
6.4评估安全对系统的影响的能力
1.详细描述申请单位是如何识别系统资产、评估系统资产影响的;
2.提供一份具体项目中关于评估系统资产影响的相应文档、记录,如,资产识别清单、重要资产清单、资产影响分析等。
表6-4
描述如何评估安全对系统的影响的
6.5
评估已有安全措施的能力
1.详细描述申请单位是如何评估系统当前已有的安全措施,以及已有措施的有效性的;
2.提供一份具体项目中关于评估系统已有安全措施的相应文档、记录,如系统已有安全措施列表等。
表6-5
描述如何评估已有安全措施的
6.6评估系统安全风险的能力
1.详细描述申请单位是如何识别、分析和评估系统安全风险的,包括选择安全风险评估方法、安全风险的分析和计算、安全风险等级排列、提出安全风险的应对措施及残余风险的评价等;
2.提供一份具体项目中关于评估系统安全风险的相应文档、记录,安全风险评估表、安全风险评估报告、风险处置计划等。
表6-6
描述如何评估系统安全风险的