信息安全应急处理服务资质认证申请书中国信息安全认证中心.docx
《信息安全应急处理服务资质认证申请书中国信息安全认证中心.docx》由会员分享,可在线阅读,更多相关《信息安全应急处理服务资质认证申请书中国信息安全认证中心.docx(11页珍藏版)》请在冰豆网上搜索。
信息安全应急处理服务资质认证申请书中国信息安全认证中心
申请编号:
信息系统灾难备份与恢复服务
资质认证申请书
(第1版)
申请组织(盖章):
申请日期:
中国信息安全认证中心制
填表须知
申请组织在正式填写本申请书前,需认真阅读以下内容:
1.申请组织应仔细阅读ISCCC-SV-004:
2012《信息系统灾难备份与恢复服务资质认证实施规则》和GB/T20988-2007《信息安全技术信息系统灾难恢复规范》,并按照具体要求如实、详细地填写申请书。
2.申请组织应按照本申请书规定的格式进行填写。
若表格空间不够,可另加附页。
3.申请组织需提交《信息系统灾难备份与恢复服务资质认证申请书》(含附件及证明材料)纸版一份,并按要求加盖单位公章,同时提交一份对应的电子文档(刻录光盘或U盘)。
申请信息
1.申请组织的性质
□A类(不含外资背景)
□B类(外资背景)
2.申请类型
□初次认证
□再认证
□变更认证
3.申请服务资质级别
□一级
□二级
□三级
1.申请组织基本情况
申请组织全称(中文):
申请组织全称(英文):
法定代表人姓名:
联系人姓名:
职务:
地址:
邮政编码:
电子邮箱:
网址:
联系方式:
电话:
传真:
手机:
本项还需提交以下资料:
1)申请组织基本情况介绍;
2)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件;
3)申请组织机构代码证或副本的复印件,税务登记证复印件;;
4)近两年财务审计报告及资产运营情况说明;
5)固定办公场所证明材料,如房产证明或房屋租赁合同复印件等;
6)从事信息安全服务、信息系统集成服务等相关资质证书复印件。
2.申请组织业绩要求
本项应包括以下内容:
提供近三年信息系统灾难备份与恢复服务项目列表(附表1),对于已经完成的项目,提供项目合同书和验收证明材料复印件。
3.申请组织从事信息系统灾难备份与恢复服务人员情况
本项应包括以下内容:
1)信息系统灾难备份与恢复服务相关人员汇总表(附表2);
2)组织负责人情况(附表3);
3)技术负责人情况(附表3);
4)信息系统灾难备份与恢复服务负责人情况(附表3);
5)质量管理负责人情况(附表3);
6)主要信息系统灾难备份与恢复服务人员情况(附表3);
7)主要服务人员任职、学历、职称、业绩证明材料复印件;
8)人员资质证书复印件,以及与公司签订的劳动合同及保密协议复印件。
4.申请组织管理情况
本项应包括以下内容:
1)组织架构图、组织管理及岗位设置与职责,详细介绍从事信息系统灾难备份与恢复服务的相关部门情况;
2)文档管理制度,确保客户信息安全、可控的管理措施,包括纸质和电子文档管理;
3)保密管理制度,开展保密教育的培训计划和记录;
4)人员管理制度,人员培训与考核管理程序,灾难备份与恢复技术培训与考核记录;
5)项目管理制度,包括项目计划的制定、项目资金管理、项目范围及管理人员设定,时间与进度管理、项目过程记录、项目监督、项目验收等;
6)质量管理相关规定,以及在信息系统灾难备份与恢复服务项目中的落实情况;
7)项目风险管理制度及在项目实施过程中的落实情况(一、二级资质要求);
8)供应商管理制度,明确管理职责,识别提供服务、系统构件的供方资质和能力,并与供应商建立有效的沟通机制(一、二级资质要求);
9)参照GB/T19001-2008《质量管理体系要求》建立和运行质量管理体系情况,并通过认证(一、二级资质要求);
10)参考GB/T22080-2008《信息技术安全技术信息安全管理体系要求》标准建立信息安全管理体系,并通过认证(一级资质要求);
11)参照GB/T24405-2009《信息技术信息技术服务管理》标准建立信息技术服务管理体系(一级资质要求)。
5.申请组织设备、设施与环境情况
本项应包括以下内容:
1)信息系统灾难备份与恢复服务过程主要工具列表;
2)具备独立的测试与实验环境介绍及必要的软、硬件设备列表;
3)两个以上不同区域自建或租赁数据中心/灾难备份中心情况介绍(一级资质要求)。
6.申请组织信息系统灾难备份与恢复技术能力
本项应包括以下内容:
1)信息系统灾难备份与恢复工作流程及操作规范;
2)信息系统灾难备份与恢复服务过程文档模板;
3)近一年开展的信息系统灾难备份及恢复演练记录;
4)组织承担或参加过的信息技术、信息安全科研项目,信息技术产品研发情况;
5)提供相关材料证明具备实施GB/T20988-2007《信息安全技术信息系统灾难恢复规范》附录A中四级以上(含四级)数据备份技术和相关服务的能力,一、二级要求具备五级以上(含五级)数据备份技术和相关服务的能力;
6)根据服务业务的需求具备开发信息安全产品或支持性工具的能力证明材料(一级资质要求);
7)两个已完成灾难备份与恢复信息系统建设项目,通过上级单位或权威第三方机构评审的证明材料(一级资质要求)。
7.信息系统灾难备份与恢复服务过程要求
按照ISCCC-SV-004:
2012《信息系统灾难备份与恢复服务资质认证实施规则》及相关标准对服务过程的具体要求,结合一个已完成的信息系统灾难备份与恢复服务项目案例,提供项目记录证明服务过程能力。
申请信息系统灾难备份与恢复服务三级资质,需按照7.1-7.4相关要求准备材料,申请信息系统灾难备份与恢复服务二级资质,需按照7.1-7.10相关要求准备材料,申请信息系统灾难备份与恢复服务一级资质,需按照7.1-7.17相关要求准备材料。
7.1方案设计与验证
本项应包括以下内容:
1)信息系统灾难备份与恢复调研表及需求分析报告;
2)风险分析和业务影响分析相关材料;
3)信息系统灾难备份与恢复技术方案;
4)信息系统灾难备份与恢复实施方案;
5)技术方案、实施方案评审记录。
7.2系统建设实施与管理
本项应提供内容:
1)按照项目建设进度,提供项目实施过程记录;
2)灾难备份与恢复系统测试方案及测试记录;
3)灾难备份与恢复系统建设实施相关管理措施。
7.3预案制定与演练
本项应提供以下内容:
1)信息系统灾难备份与恢复预案;
2)演练指挥协调程序;
3)演练过程记录和总结报告。
7.4教育与培训
本项应包括以下内容:
1)保密意识培训计划和培训记录;
2)业务连续性、灾难备份与恢复等专业技术培训记录;
3)对外部配合人员(如客户)和第三方人员开展相关技术培训记录;
4)信息系统灾难恢复演练培训相关记录。
7.5风险分析(一、二级要求)
1)风险分析方案、风险分析报告;
2)有优先级别的灾难防护列表和可操作的风险处置方案。
7.6业务影响分析(一、二级要求)
1)业务持续性计划方案;
2)依据核心业务流程所需RTO、RPO等指标,制定的关键业务功能恢复优先顺序和策略。
7.7策略制定和方案设计(一、二级要求)
1)灾难备份与恢复短长期及短期策略和目标;
2)独立制定灾难备份与恢复服务技术方案和实施方案的证明材料。
7.8系统运行支持(一、二级要求)
1)灾难备份与恢复系统进行管理和运行维护记录;
2)结合突发事件,进行损失控制和损失评估的相关记录;
3)灾难备份与恢复系统运行状况评审记录。
7.9外部组织协作(一、二级要求)
1)设备及服务提供商、通信、电力及其他相关管理部门清单;
2)与外部协作组织签订的合作协议和服务级别协议;
3)外部支持单位设置的物理和逻辑安全控制措施的评审记录。
7.10灾难恢复演练(一、二级要求)
1)灾难恢复演练规划及人员职责划分情况;
2)信息系统灾难备份与恢复演练方案;
3)不同场景和假设的演练记录;
4)灾难恢复演练总结报告。
7.11灾难备份中心运维(一级要求)
1)灾难备份中心运维管理制度和工作流程;
2)灾难备份中心完整的组织架构和相对独立的运行管理团队;
3)灾难备份中心日常监控与操作管理制度,包括运维整体规划、运维管理层制度、实施层制度和操作层制度等;
4)信息安全管理措施在灾难备份中心运行情况;
5)灾难备份中心信息系统运行监控情况;
6)灾难备份中心与生产中心间建立统一变更流程及相关规定;
7)灾难备份系统评审与验证记录;
7.12灾备系统建设(一级要求)
1)数据备份系统建设与管理要求和数据复制/备份技术方案;
2)备用处理系统建设与管理要求;
3)备用网络系统建设与管理要求;
7.13基础设施运维管理(一级要求)
1)基础设施安全防护管理制度及运维记录;
2)基础设施运行异常相应和处理记录;
3)基础设施容量检查评估记录;
4)存储介质和数据管理制度。
7.14预案开发与维护(一级要求)
1)信息系统灾难恢复预案体系,包括应急预案和灾难恢复预案;
2)应急预案和灾难恢复预案维护记录。
7.15灾难恢复演练(一级要求)
1)实际切换演练记录;
2)评估演练过程存在安全风险的相关记录;
3)灾难恢复演练报告。
7.16应急与切换(一级要求)
1)应急响应流程;
2)项目实施过程应急与切换记录;
7.17服务商管理(一级要求)
1)服务商管理制度;
2)与服务商签订的书面合同和服务水平协议;
针对关键设备和服务,与服务商签订的紧急供应协议。
申请组织声明
我组织正式提出信息系统灾难备份与恢复服务资质认证申请,承诺申请书中所提供的信息属实,遵守《中华人民共和国认证认可条例》及相关法规,按照中国信息安全认证中心的有关程序和规范要求,接受认证审核及证后监督,遵守认证证书、认证标志使用和公告的规定,并及时缴纳信息系统灾难备份与恢复服务资质认证相关费用。
法定代表人(签名):
申请组织(盖章):
年月日
附表1
信息系统灾难备份与恢复服务项目汇总表
序号
项目名称
合同总金额
软硬件购置费
建设服务费
运维管理费用
签订时间
验收时间
附表2
信息系统灾难备份与恢复服务相关人员汇总表
序号
姓名
身份证号
部门
从事岗位
学历/职称
专业
毕业时间
机构总人数
灾难备份与恢复服务人员占机构总人数比例
附表3
人员情况表
姓 名
性 别
出生年月
职 称
学 历
毕业时间
工作部门
职 务
毕业学校
专业
信息安全技术领域工作经历(年数)
教育和工作简历
主要业绩