信息系统安全服务资质认证申请书中国信息安全测评中心.docx
《信息系统安全服务资质认证申请书中国信息安全测评中心.docx》由会员分享,可在线阅读,更多相关《信息系统安全服务资质认证申请书中国信息安全测评中心.docx(35页珍藏版)》请在冰豆网上搜索。
信息系统安全服务资质认证申请书中国信息安全测评中心
编号:
国家信息安全测评
信息安全服务资质申请书
(安全开发类二级)
申请单位(公章):
填表日期:
©版权2017—中国信息安全测评中心
2017年10月
填表须知
用户在正式填写本申请书前,须认真阅读并理解以下内容:
1.中国信息安全测评中心对下列对象进行测评:
●信息技术产品
●信息系统
●提供信息安全服务的组织
●产品安全开发的相关从业人员
2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类二级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
6.本申请书要求提供的附件及证明材料须单独装订成册并编目。
提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
7.如有疑问,请与中国信息安全测评中心联系。
中国信息安全测评中心
地址:
北京市海淀区上地西路8号院1号楼
邮编:
100085
电话:
(010)82341188或82341118
传真:
82341100
网址:
电子邮箱:
*****************.cn
申请表
中国信息安全测评中心:
我单位正式提出信息安全服务资质申请,并保证将按照信息安全服务资质的要求,提供所需的所有真实信息,并配合资质测评活动。
1.申请服务类型
□A类(不具有外资背景)□B类(具有外资背景)
2.申请服务内容
□安全开发(信息技术产品开发、信息系统应用平台开发等)
3.申请类型
□初次申请
□再次申请,第 次申请
□级别变更
(原资质级别:
□一级 □二级□三级□四级□五级)
注:
以上各项均为单选。
申请单位(盖章):
申请日期:
年月日
一、申请单位基本情况
申请单位全称(中文):
申请单位全称(英文):
注册地址:
办公地址:
邮政编码:
法定代表人姓名:
职务:
联系人姓名:
职务:
电子邮箱:
联系方式:
电话()
传真()
手机()
工商登记注册号或统一社会信用代码(附申请单位法人营业执照副本或上级主管部门批准成立文件复印件):
法人机构代码(附法人机构代码证副本复印件):
已获的国家信息安全服务资质证书号码(附资质证书复印件):
其他重要的法律文件:
二、申请单位概况
本项包括以下要求:
1.描述单位基本情况(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等);
2.给出总体的组织结构图(应体现组织与安全开发相关部门的关系);
3.描述与上述组织结构图相对应的各部门的职能。
应明确涉及安全开发的资源管理、项目管理、质量保证、客户服务、人力资源管理、培训和合同管理等与各部门的对应关系。
三、申请单位资产运营情况
本项包括以下要求:
1.单位近三年资产运营情况(加盖公章)(表3-1);
2.近三年审计报告与信用等级证明材料(审计报告、审计机构提供的资产状况良好的证明材料、加盖公章的资产负债表和损益表);
3.财务亏损或其它异常状况发生说明情况,并提供相应的证明材料。
申请单位近三年资产运营情况表
表3-1单位:
万元人民币
近三年资产负债表
年
年
年
年
年
年
资产总额
负债与所有者权益总额
流动资产
负债总额
其
中
应收帐款
其
中
流动负债
平均应收帐款
长期负债
存货
所有者权益
平均存货
其
中
实收资本
固定资产原值
未分配利润
固定资产净值
近三年损益表
年
年
年
年
年
年
收入总额
财务费用
其
中
业务收入
营业利润
其中安全开发收入
投资收益
销售成本
利润总额
销售费用
净利润
销售利润
管理费用
注:
安全开发费用及利润包括:
涉及产品的设计费、开发费、集成费、服务费和培训费、利润等;
四、申请单位人员情况
本项包括以下要求:
1.申请单位负责人情况(表4-1);
2.申请单位开发技术负责人情况(表4-2);
3.申请单位质量管理负责人情况(表4-3);
4.以上人员的任职、学历、职称、业绩证明材料扫描件;
5.安全开发技术人员名单(表4-4);
6.安全开发测试人员名单(表4-5);
7.提供已有CISP(CISD或CISE或CISO)资格人员的CISP证书扫描件,或已有CWASPCSSP资格人员的CWASPCSSP证书扫描件。
申请单位负责人情况表
表4-1
姓 名
性别
出生年月
职务
职 称
学历
毕业时间
毕业学校
毕业专业
信息安全技术领域工作经历(年数)
学习和工作简历
业绩
申请单位开发技术负责人情况
表4-2
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息技术领域工作经历(年数)
学习和工作简历
业绩
申请单位质量管理负责人情况
表4-3
姓名
性别
出生年月
职务
职称
学历
毕业时间
毕业学校
毕业专业
信息技术领域工作经历(年数)
学习和工作简历
业绩
安全开发技术人员基本情况
表4-4
序号
部门名称
姓名
身份证号
毕业专业
毕业时间
学历
资格
从事岗位
技术特长
备注
开发技术人员数量
占单位总人数比例
安全开发测试人员基本情况
表4-5
序号
部门名称
姓名
身份证号
毕业专业
毕业时间
学历
职称
从事岗位
技术特长
备注
开发测试人员数量
占单位总人数比例
五、申请单位基本技术能力情况
本项根据表内容详细填写,包括:
1.自主开发产品情况(表5-1);
2.工作环境设施情况(表5-2);
3.常用安全开发工具情况(表5-3);
4.常用开发环境和测试环境情况(表5-4);
5.常用技术支持获取环境情况(表5-5)。
表5-1
自主开发产品情况
产品名称
产品概述
产品功能
和特点
产品认证情况
表5-2
工作环境设施情况
分类
型号
数量
服务器
存储设备
网络设备
安全管控设备
其他
表5-3
常用安全开发工具情况
序号
名称
功能描述
版本
工具提供商或开发人员
表5-4
常用开发环境和测试环境情况
序号
设备或工具名称、型号、版本
数量
基本配置
备注
表5-5
常用技术支持获取环境情况
类别
具体内容
网址
服务热线号码
第三方合作伙伴
其它渠道
六、申请单位安全开发服务业绩
本项要求:
1.按照表6-1中格式详细填写,并加盖单位公章;
2.填写最近三个年度完成的产品安全开发项目(以合同或开发任务书签订时间为准);
3.项目名称请严格按照合同或开发任务书填写;
4.项目请务必按应用领域或行业顺序填写;
5.完成项目在“进展情况”栏中注明,并将合计填入“完成的项目总金额”;
6.提供项目合同或开发任务书的扫描件;
7.提供所有已验收项目验收报告的扫描件。
组织近三年产品安全开发项目汇总表
表6-1单位:
万元
序号
项目名称
项目所属行业
合同金额
项目进展情况
验收情况
产品功能性能
测评情况
产品安全
测评情况
获证情况
备注
1
2
3
4
5
6
7
8
9
10
11
12
合计
其中完成的项目总金额
七、申请单位质量管理能力
本项包括以下内容:
1.质量管理体系和管理职责;
2.资源管理;
3.项目过程管理;
4.配置管理;
5.质量保证和改进。
7.1质量管理体系和管理职责
本项包括以下要求:
1.描述申请单位覆盖产品安全开发方面的质量管理体系的建立和实施情况,包括体系建立所依据的标准、体系建立的时间、体系运行情况、组织的质量方针、体系文件建立情况、组织结构图、部门职责、人员岗位与职责、沟通机制等;
2.提供完整的质量管理体系与管理职责手册。
表7-1
质量管理体系和管理职责情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
7.2
资源管理能力
本项包括以下要求:
1.描述申请单位人力资源、设备资源、信息资源的管理情况,包括是否建立了指导人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、产品和工具采购管理的规范性文档;
2.描述如何进行资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的;
3.提供有关人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、产品和工具采购管理的规范性文档。
表7-2
资源管理情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
7.3项目过程管理能力
本项包括以下要求:
1.描述申请单位产品安全开发方面的项目管理情况,包括是否建立了指导项目策划管理、项目监控管理、项目风险管理的规范性文档;
2.描述如何进行项目策划管理、项目监控管理、项目风险管理的;
3.提供有关项目过程管理的规范性文档。
表7-3
项目过程管理情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
7.4配置管理能力
本项包括以下要求:
1.描述申请单位产品安全开发方面的配置管理情况,包括是否建立了配置管理规程、识别配置项、建立配置管理工具系统、进行基线管理和变更控制、创建配置管理记录的规范性文档;
2.描述如何进行识别配置项并建立配置管理工具系统、基线管理、变更控制、更新配置管理记录的;
3.提供有关配置管理的规范性文档。
表7-4
配置管理情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
7.5质量保证与改进能力
本项包括以下要求:
1.描述申请单位产品安全开发方面的质量保证和改进情况,包括是否建立了指导质量保证、纠正和预防措施管理的规范性文档;
2.描述如何进行质量保证、如何执行纠正和预防措施的;
3.提供有关质量保证、纠正和预防措施管理的规范性文档。
表7-5
质量保证和改进情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
八、申请单位安全开发过程能力
本项包括以下内容:
1.安全需求分析与定义的能力;
2.安全设计的能力;
3.安全实现的能力;
4.安全确认与验证的能力;
5.安全发布与运行的能力;
6.安全支持的能力。
8.1安全需求分析与定义的能力
本项包括以下要求:
1.详细描述申请单位如何进行产品安全需求识别、分析与确认;
2.提供申请单位用于指导产品安全需求定义的规范性文档及模版表单。
表8—1
安全需求分析与定义能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
8.2安全设计的能力
本项包括以下要求:
1.详细描述申请单位如何在产品安全设计过程中执行威胁建模、攻击面分析和安全设计审查等技术;
2.提供申请单位用于指导产品安全设计的规范性文档及模版表单。
表8—2
安全设计能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
8.3安全实现的能力
本项包括以下要求:
1.详细描述申请单位如何在产品安全实现过程中执行安全编码、软件代码安全审查、第三方组件管理、接口管理等技术;
2.提供申请单位用于指导产品安全实现的规范性文档及模版表单。
表8—3
安全实现能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
8.4安全确认与验证的能力
本项包括以下要求:
1.详细描述申请单位如何在产品安全验证过程中执行安全测试、攻击面再评估等技术;
2.提供申请单位用于指导产品安全确认与验证的规范性文档及模版表单。
表8—4
安全确认与验证能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
8.5安全发布与运行的能力
本项包括以下要求:
1.详细描述申请单位如何在产品安全运行过程中执行存档发布、安全加固、安全响应计划等技术;
2.提供申请单位用于指导产品安全发布与运行的规范性文档及模版表单。
表8—5
安全发布与运行能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
8.6安全支持的能力
本项包括以下要求:
1.详细描述申请单位对产品如何进行动态监视的;
2.提供申请单位用于指导产品安全支持的规范性文档及模版表单。
表8—6
安全支持能力的情况描述
详细描述
附件
注:
请在“详细描述”中进行文字描述说明,在“附件”中注明附件名称。
九、申请单位获奖、资格授权情况
表9-1
获奖情况
序 号
项目名称
获奖等级
获奖时间
项目带头人
授奖单位
1
2
3
4
资格授权情况
序 号
授权资格名称
授权范围
授权时间
授权期限
授权单位
1
2
3
4
其它资质
序 号
资质名称
资质范围
资质证书号码
资质期限
发证单位
1
2
3
4
十、申请单位在安全开发方面的发展规划
表10-1
未来三年的发展规划
十一、申请单位其他说明情况
表11-1
近三年申请单位是否有项目验收未通过的情况?
如有请说明原因。
申请单位是否有违犯知识产权保护等有关法律的现象?
如有请说明原因
其它需要说明的问题
十二、申请单位附加信息
本项要求:
1.按要求填写《申请单位情况调查表》(表12-1);
2.按要求填写《申请单位安全服务项目使用安全产品调查表》(表12-2);
3.填写中表格可以加行,但需保持电子表格的格式不变;
4.表格中注明相应附件的还需提供相应附件材料。
表12-1申请单位情况调查表
序号
调查项
内容
备注
1.
单位名称
2.
注册地址
3.
注册资本构成
股东名称
投资额
投资比例
资本形式
备注
提供财务最新验资报告
4.
5.
6.
7.
公司总经理
8.
公司总人数
最新的公司总人数,包括公司的分公司、各地办事处、研发机构等,但不包括子公司
9.
安全服务技术人员人数
安全服务技术人员
人员构成
最新的公司实施信息安全服务的技术人员总人数,包括公司的分公司、各地办事处、研发机构等,但不包括子公司。
安全服务技术人员包括:
安全开发人员,但不包含安全服务技术咨询、安全技术售前和售后、安全设计人员、应急响应、安全运维、安全审核或审计、安全测试和评估、安全集成等人员。
总数
博士
硕士
学士
大专
其他
数量(人)
占总数比例(%)
CISP人员、CWASPCSSP人员
序号
姓名
证书号
有效日期
备注
19.
分支机构情况
名称
详细地址
性质
规模
1
2
3
23.
子公司情况
名称
详细地址
投资比例
1
2
26.
财务负责人资格
提供注册会计师证书或职称证书复印件
27.
办公环境情况
地址
面积(平米)
工位数量(个)
包括公司的总部、分支机构;
办公地址要细化到楼层(室),办公分布在各个楼层的要按照楼层分别填写。
1
2
3
4
31.
开发或研究环境
地址
面积(平米)
工位数量(个)
测试人员数量(个)
1
2
34.
安全服务模拟实验环境
地址
面积(平米)
1、地址要细化到办公地址中的具体部位或房间
2、工具设备要提供实施安全服务模拟实验的所有工具和设备清单,包括名称、数量、版本号和基本配置情况;
3、拓扑图:
提供已有的安全服务模拟实验(测试)拓扑图(有多份则提供多份,纸板或电子版均可),如无则填写“无”
工具和设备情况
工具或设备名称、型号、版本
数量
基本配置
备注
模拟测试拓扑图
图一
图二
46.
开发的信息安全产品情况
名称
版本或型号
获证情况
备注
如正在开发的产品,在备注中说明
1
2
3
50.
开发的非信息安全产品
产品名称
版本或型号
1
2
3
54.
安全服务的主要行业
55.
安全服务项目数量
56.
最大的安全服务项目
项目名称、金额
57.
最重要的安全服务项目
58.
完成的党政机关项目数量
59.
完成的项目通过何种测评
项目(信息系统)名称
测评机构名称
测评级别
提供测评证据
1
2
62.
代理的信息安全产品情况
代理厂商名称
代理产品名称和版本
代理产品的获证情况
1
2
65.
公司不良记录
66.
其他需要说明的情况
填写人:
日期:
被审核方(盖章):
表12-2申请单位安全开发项目使用安全产品调查
序号
项目合同名称
产品名称、型号/版本
产品获证情况
产品开发商
产品应用对象
备注
名称
资金背景
资格
注:
只填写本单位安全开发