国家信息安全测评认证.docx

资源描述

国家信息安全测评认证.docx

《国家信息安全测评认证.docx》由会员分享，可在线阅读，更多相关《国家信息安全测评认证.docx（25页珍藏版）》请在冰豆网上搜索。

国家信息安全测评认证.docx

国家信息安全测评认证

信息系统安全服务资质认证申请书

（一级）

申请单位（公章）：

填表日期：

中国信息安全产品测评认证中心

填表须知

用户在正式填写本申请书前，须认真阅读并明白得以下内容：

1．中国信息安全产品测评认证中心对下列对象进行测评认证：

●信息技术产品

●信息系统

●提供信息安全服务的组织和单位

●信息安全专业人员

2．申请单位应认真阅读《信息系统安全服务资质认证指南》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。

4．申请单位须提交《信息系统安全服务资质认证申请书》（含附件及证明材料）纸板一式叁份，要求盖章的地点，必须加盖公章，同时提交一份对应的电子文档。

5．不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。

6．不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情形》此项内容。

7．如有疑问，请与中国信息安全产品测评认证中心联系。

中国信息安全产品测评认证中心

地址：

北京市西三环北路27号北科大厦9层

：

100091

：

86－10－68428899

：

86－10－68462942

电子邮箱：

cnitsec@

申请表

中国信息安全产品测评认证中心：

我单位正式提出信息系统安全服务资质认证申请，并保证将按照信息系统安全服务资质认证的要求，提供所需的所有真实信息，并配合认证活动。

1．申请服务类型

□A类（不具有外资背景）□B类（具有外资背景）

2．申请服务内容

□安全工程（安全方案设计、安全集成、安全监控和爱护、风险评估、安全咨询等）

□安全培训

□CA运营

□其他服务

3．申请类型

□初次申请　　　　　　

□再次申请，第　　　次申请

□级别变更

　　（原资质级别：

□一级　□二级□三级□四级□五级）

注意：

除第二项外其余各项均为单选。

申请单位（盖章）：

申请日期：

年月日

一，

申请单位差不多情形

申请单位全称（中文）：

申请单位全称（英文）：

地址：

邮政编码

法定代表人姓名：

职务：

联系人姓名：

职务：

电子邮箱：

联系方式：

（）

BP（）

手机（）

工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）：

法人机构代码（附法人机构代码证副本复印件）：

其他重要的法律文件：

二，企业组织结构

本项应包括以下内容：

1．企业组织结构图

2．企业部门职能文字描述（包括与安全服务有关的治理、研发、安全服务实施、质量保证、客户服务、人力资源治理与培训、合同治理等）

三，

企业近三年资产运营情形

本项应包括以下内容：

1.企业近三年资产运营情形（加盖公章）（表1）；

2.近三年审计报告与信用等级证明材料（若无审计报告请提供加盖公章的资产负债表和损益表）；

3.安全服务费用包括：

涉及安全内容的系统设计费、软件开发费、系统集成费、服务费和培训费等；

4.财务亏损或其它专门状况发生请提供证明材料。

企业近三年资产运营情形表

表1单位：

万元人民币

近三年资产负债表

年

资产总额

负债与所有者权益总额

流淌资产

负债总额

其

中

应收帐款

其

中

流淌负债

平均应收帐款

长期负债

存货

所有者权益

平均存货

其

中

实收资本

固定资产原值

未分配利润

固定资产净值

近

三

年

损

益

表

年

收入总额

财务费用

其

中

业务收入

营业利润

其中安全服务费用

投资收益

销售成本

利润总额

销售费用

净利润

销售利润

治理费用

四，企业要紧负责人情形

本项应包括以下内容：

1.企业负责人情形（表2）

2.企业技术负责人情形（表3）

3.企业安全服务负责人情形（表4）

4.以上人员的任职、学历、职称、业绩证明材料复印件

企业负责人情形表

表2

姓　名

性　别

出生年月

职　务

职　称

学　历

毕业时刻

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

企业技术负责人情形

表3

姓　名

性　别

出生年月

职　务

职　称

学　历

毕业时刻

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

企业安全服务负责人情形

表4

姓　名

性　别

出生年月

职　务

职　称

学　历

毕业时刻

毕业学校

毕业专业

信息安全技术领域工作经历（年数）

学习和工作简历

业绩

五，企业技术能力差不多情形

本项依照表5内容详细填写，包括：

1.安全服务要紧人员差不多情形；

2.自主开发产品情形；

3.工作环境设施情形；

4.常用安全服务工具；

5.安全服务网站。

企业技术能力差不多情形表

表5

安全服务要紧人员差不多情形

序号

部门名称

姓　名

身份证号

职　称

学　历

毕业专业

毕业时刻

从事岗位

技术特长

总人数

安全服务人员数目占公司总人数比例

自主开发产品情形

产品名称

产品概述

产品功能和特点

产品认证情形

工作环境设施情形

分类

型号

数量

服务器

工作站

网络设备

网络安全工具

其他

常用安全服务工具

名称

功能描述

版本

工具提供商或开发人员

安全服务网站

网址

安全服务内容

更新频率

爱护人数

六，企业的信息系统安全工程过程能力

本项应包括以下十一项内容：

1.评估系统安全威逼的能力

2.评估系统脆弱性的能力

3.评估安全对系统的阻碍的能力

4.评估系统安全风险的能力

5.确定系统的安全需求的能力

6.确定系统的安全输入的能力

7.进行治理安全操纵的能力

8.进行监测系统安全状况的能力

9.进行安全和谐的能力

10.进行检测和证实系统安全性的能力

11.进行建立系统安全的保证证据的能力

6.1

评估系统安全威逼的能力

本项要求：

1.详细描述组织是如何识别系统所面临的各种安全威逼及其性质和特点；

2.详细描述组织是如何对威逼的可能性进行评估的；

3.提供一份具体项目中关于评估系统安全威逼的相应文档记录；

4.文档记录附在该项文字描述之后。

表6-1

描述如何对系统安全威逼进行评估

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.2

评估系统脆弱性的能力

本项要求：

1.详细描述组织是如何对系统的脆弱性进行评估的，包括所选择的分析方法、工具，收集、合成系统的脆弱性数据；

2.提供一份具体项目中关于系统脆弱性评估的相应文档记录，包括系统脆弱性清单、攻击测试报告等；

3.文档记录附在该项文字描述之后。

表6-2

描述如何评估系统脆弱性

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.3

评估安全对系统的阻碍的能力

本项要求：

1.详细描述组织是如何识别安全对所实施的系统有关系的阻碍，并对发生阻碍的可能性进行评估的；

2.提供一份具体项目中关于评估安全对系统的阻碍的相应文档记录，如系统优先级清单/系统资产分析表等；

3.文档记录附在该项文字描述之后。

表6-3

描述如何评估安全对系统的阻碍的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.4

评估系统安全风险的能力

本项要求：

1.详细描述组织是如何识别出一给定环境中涉及到对某一系统有依靠关系的安全风险的；

2.详细描述组织是如何对系统的安全风险进行评估，包括选择风险评估方法、对风险的优先级排列方法等等；

3.提供一份具体项目中关于评估系统安全风险的相应文档记录；

4.文档记录附在该项文字描述之后。

表6-4

描述如何评估系统安全风险的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.5

确定系统的安全需求的能力

本项要求：

1.详细描述组织是如何明确地为系统识别出与安全相关的要求的；

2.提供一份具体项目中关于确定系统的安全需求的相应文档记录，如安全策略，安全目标，安全需求分析报告等；

3.文档记录附在该项文字描述之后。

表6-5

描述如何确定系统的安全需求的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.6

确定系统的安全输入的能力

本项要求：

1.详细描述组织是如何为系统的规划者、设计者、实施者或用户提供他们所需的安全信息。

信息包括安全体系结构、设计或实施选择以及安全指南；

2.提供一份具体项目中关于确定系统的安全输入的相应文档记录，如系统安全体系设计方案，安全模型，各种安全相关的指南等；

3.文档记录附在该项文字描述之后。

表6-6

描述如何确定系统的安全输入的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.7

进行治理安全操纵的能力

本项要求：

1.详细描述组织是如何保证集成到系统设计中的已打算的系统安全确实由最终系统在运行状态下达到。

包括建立安全职责，治理所有用户和治理员的安全意识、培训和教育大纲以及对所有的安全配置进行治理（软件更新记录、安全配置修改记录等等）；

2.提供一份具体项目中关于进行治理安全操纵的相应文档记录；

3.文档记录附在该项文字描述之后。

表6-7

描述如何进行治理安全操纵的能力

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.8

进行监测系统安全状况的能力

本项要求：

1.详细描述组织是如何关于安全风险变化、事件记录、安全防护措施进行监视，并识别安全突发事件和对安全突发事件进行响应的；

2.提供一份具体项目中关于进行监测系统安全状况的相应文档记录；

3.文档记录附在该项文字描述之后。

表6-8

描述如何进行监测系统安全状况的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.9

进行安全性和谐的能力

本项要求：

1.详细描述组织是如何进行安全性和谐的，包括建立和谐机制（各工作组之间以及组内部）并确保事实上施的方法；

2.提供一份具体项目中关于进行安全性和谐的相应文档记录；

3.文档记录附在该项文字描述之后。

表6-9

描述如何进行安全和谐的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.10

进行检测和证实系统安全性的能力

本项要求：

1.详细描述组织是如何进行检测和证实系统的安全性的，包括检测或证实系统安全性的方法和工具；

2.提供一份具体项目中关于进行检测和证实系统安全性的相应文档记录，如测试打算，检测结果，检测报告等；

3.文档记录附在该项文字描述之后。

表6-10

描述如何进行检测和证实系统安全性的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

6.11

进行建立系统安全的保证证据的能力

本项要求：

1.详细描述组织是如何建立系统安全的保证证据的，包括对保证的目标进行识别、建立保证证据库并对其进行分析等；

2.提供一份具体项目中关于进行建立系统安全的保证证据的相应文档记录；

3.文档记录附在该项文字描述之后。

表6-11

描述如何建立系统安全的保证证据的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

七，

企业的项目和组织过程能力

本项应包括以下八项内容：

1.如何实现质量保证；

2.如何对整个系统进行治理配置；

3.如何治理项目风险；

4.如何监控技术活动；

5.如何规划技术活动；

6.如何治理系统工程支持环境；

7.如何提供不断进展的知识和技能；

8.如何与供应商和谐。

7.1

如何实现质量保证

本项要求：

1.详细描述组织是如何实现质量保证的；

2.提供组织实现质量保证的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-1

描述如何实现质量保证的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.2

如何对整个系统进行治理配置

本项要求：

1.详细描述组织是如何进行治理配置的，包括坚持已标识的配置单元的数据和状况，并对系统及其配置单元的变化进行分析和操纵；

2.提供对整个系统进行治理配置的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-2

描述如何对整个系统进行治理配置的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.3

如何治理项目风险

本项要求：

1.详细描述组织是如何治理项目风险的；

2.提供治理项目风险的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-3

描述如何治理项目风险

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.4

如何监控技术活动

本项要求：

1.详细描述组织是如何进行监控技术活动的，包括技术活动指导，项目资源的跟踪，问题分析等；

2.提供关于进行监控技术活动的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-4

描述如何监控技术活动

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.5

如何规划技术活动

本项要求：

1.详细描述组织是如何规划技术活动的，包括关键资源的识别，项目费用估算，确定工程过程，定义项目接口，项目进度打算等活动；

2.提供关于进行规划技术活动的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-5

描述如何规划技术活动

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.6如何治理系统工程支持环境

本项要求：

1.详细描述组织是如何治理系统工程支持环境；

2.提供关于治理系统工程支持环境的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-6

描述如何治理系统工程支持环境

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.7如何提供不断进展的知识和技能

本项要求：

1.详细描述组织是如何提供不断进展的知识和技能的；

2.提供关于提供不断进展的知识和技能的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-7

描述如何提供不断进展的知识和技能

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

7.8如何与供应商和谐

本项要求：

1.详细描述组织是如何与供应商和谐的；

2.提供关于如何与供应商和谐的相应文档记录；

3.文档记录附在该项文字描述之后。

表7-8

描述如何与供应商和谐的

详细描述

备注

注：

请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。

八，

企业安全服务项目汇总

本项要求：

1.按照表8格式详细填写，并加盖单位公章；

2.填写最近两个年度承接的安全服务项目（以合同签订时刻为准，如属纯销货合同项目，则不在填报范畴之内）；

3.项目名称请严格按照合同填写；

4.项目请务必按应用领域或行业顺序填写；

5.完成项目在“进展情形”中注明，并将合计填入“完成的项目总金额”；

6.提供项目承接合同的复印件。

企业近两年安全服务项目汇总表

表8单位：

万元

序号

项　目　名　称

项目所属行业

合同金额

硬件购置费用

软件购置费用

软件开发费用

安全服务费用

安全服务费用所占比例

项目进展情形

验收情形

备注

合计

其中完成的项目总金额　

九，企业安全培训软硬件情形

表9

要紧安全培训授课人员差不多情形表

序号

姓　名

身份证号

职　称

学　历

毕业专业

毕业时刻

从事岗位

所属单位

技术特长

总人数

培训设备情形

服务器（型号、数量）

工作站（型号、数量）

网络设备（型号、数量）

网络安全设备（型号、数量）

培训教程

固定培训地点

十，企业获奖、资格授权情形

表10

获

奖

情

况

序　号

项目名称

获奖等级

获奖时刻

项目带头人

授奖单位

资格授权情形

序　号

授权资格名称

授权范畴

授权时刻

授权期限

授权单位

企业其它资质

序　号

资质名称

资质范畴

认证时刻

资质期限

认证单位

十一，企业在安全服务方面的进展规划

表11

企业在以后三年的进展规划

十二，企业其他说明情形

表12

近三年企业是否有项目验收未通过的情形？

如有请说明缘故。

企业是否有违犯知识产权爱护等有关法律的现象？

如有请说明缘故

其它需要说明的问题

十三，其他附件

2名注册信息安全专业人员（CISP）的证书复印件。

如有安全培训业务，应按照培训课程附上相应安全培训资料。

申请单位声明

本单位申请国家信息系统安全服务资质认证，情愿遵守《信息系统安全服务资质评估准则》及其配套规章的规定，按照中国信息安全产品测评认证中心的有关程序和规范要求，同意认证活动全过程中的有关认证审核、认证后监督有关认证证书、认证标志使用和公告治理规定，包括被暂停或撤消认证时停止宣传，并交回认证证书的规定。

同时，本次申请认证不论获准与否，有关安全服务资质认证费用，均按要求及时缴纳。

法定代表人（签名）：

申请单位（盖章）：

年月日

展开阅读全文