2022年信息安全风险评估服务资质申请书 .pdf

申请编号：信息安全风险评估服务资质认证申请书（第 1 版）申请组织（盖章）：申请日期：中国信息安全认证中心制名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 12 页 -目录填表须知.1申请信息.21.申请组织基本情况.32.申请组织业绩要求.33.申请组织从事信息安全风险评估服务的人员情况.34.申请组织管理情况.45.申请组织设备、设施与环境情况.46.申请组织风险评估服务能力.47.信息安全风险评估服务过程要求.57.1 准备阶段.57.2 识别阶段.57.3 分析阶段.57.4 处置阶段.5申请组织声明.7附表 1.8附表 2.9名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 12 页 -填表须知申请组织在正式填写本申请书前，须认真阅读并理解以下内容：1申请组织应仔细阅读ISO/IEC 27005:2008 信息技术安全技术信息安全风险评估管理、GB/T 20984-2007信息安全技术信息安全风险评估规范、YD/T 2252-2011网络与信息安全风险评估服务能力评估方法，并按照其要求如实、详细地填写本申请书所有内容。2申请组织应按照本申请书规定格式进行填写。若表格空间不够，可另加附页。3申请组织须提交 信息安全风险评估服务资质认证申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 12 页 -申请信息1申请组织的性质 A 类（不含外资背景）B 类（外资背景）2申请类型 初次认证 再认证 变更认证3申请服务资质级别 一级 二级 三级名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 12 页 -1.申请组织基本情况申请组织全称（中文）：申请组织全称（英文）：法定代表人姓名：职务：联系人姓名：职务：地址：邮政编码：电子邮箱：网址：联系方式：电话：传真：手机：本项还需提交以下资料：1)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件；2)法人机构代码证或副本的复印件；3)从事信息安全风险评估服务的相关资质证书复印件；4)符合国家保密管理部门要求的证明材料；5)提供近两年的资产运营情况，财务审计报告；如有财务亏损或其他异常状况发生，并提供相应的证明材料；6)申请组织的固定办公场所证明材料；7)申请组织部门职能(包括与信息安全风险评估服务相关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述）。2.申请组织业绩要求本项应包括以下内容：组织近三年内完成的风险评估项目规模、数量等方面证明符合相关资质级别要求的全部项目案例列表并注明完成状况，对于已完成的项目提供合同复印件及完成的证明材料。3.申请组织从事信息安全风险评估服务的人员情况本项应包括以下内容：名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 12 页 -1)信息安全风险评估服务相关人员汇总表（附表1）；2)组织负责人情况（附表2）；3)技术负责人情况（附表2）；4)风险评估服务负责人情况（附表2）；5)质量管理负责人情况（附表2）；6)主要信息安全风险评估服务人员情况（附表2）；7)注册安全认证人员的证书复印件；8)主要服务人员的任职、学历、职称、业绩证明材料复印件；9)信息安全风险评估服务人员签订的保密协议复印件。4.申请组织管理情况本项应包括以下内容：1)确保客户信息安全、可控的管理规定；2)人员保密管理要求，保密岗位与职责，对服务人员进行保密教育与培训的计划及落实情况；3)人员管理规定，包括人员在任用之前、任用中、任用的终止或变更的管理要求及对服务人员的风险评估技能培训计划及落实情况；4)服务项目的管理制度，风险评估项目计划及监督检查情况；5)项目风险管理要求（一、二级资质要求）及落实情况；6)服务质量持续改进制度及落实情况（一、二级资质要求）；7)信息安全管理体系建设情况的证明材料（一级资质要求）。5.申请组织设备、设施与环境情况本项应包括以下内容：1)风险评估服务需要的主要检测工具清单；2)自开发的风险评估工具列表及功能描述；3)独立的测试与实验环境介绍及必要的软、硬件设备清单。6.申请组织风险评估服务能力本项应包括以下内容：1)风险分析模型，风险计算方法的证明材料；名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 12 页 -2)风险评估工作流程；3)风险评估操作规范，包括资产识别、威胁评估、脆弱性评估、已有安全措施确认在内的规范文档；4)风险评估方案模板；5)风险评估报告模板；6)挖掘安全漏洞的证明材料（一、二级要求）。7.信息安全风险评估服务过程要求提供已完成的信息安全风险评估项目案例，以证明其服务过程能力：7.1准备阶段本项应包括以下内容：1)需求调研报告；2)服务合同、保密协议；3)服务方案；4)配备的人员和工具。7.2识别阶段本项应提供风险识别材料，内容包括但不限于：1)资产识别；2)威胁识别；3)脆弱性识别；4)已有安全措施确认等。7.3分析阶段本项应提供风险评估包括，包括以下内容：1)风险分析模型；2)风险计算方法；3)风险分析与评价。7.4处置阶段本项应包括以下内容：名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 12 页 -1)处置原则；2)安全整改建议；3)组织评审会；4)评审意见。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 12 页 -申请组织声明我组织正式提出信息安全风险评估服务资质认证申请，承诺申请书中所提供的信息属实，遵守中华人民共和国认证认可条例及相关法规，按照中国信息安全认证中心的有关程序和规范要求，接受认证审核及证后监督，遵守认证证书、认证标志使用和公告的规定，并及时缴纳信息安全风险评估服务资质认证相关费用。法定代表人（签名）：申请组织（盖章）：年月日名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 12 页 -附表 1 申请组织信息安全风险评估服务相关人员汇总表序号部门姓名身份证号学历/职称专业毕业时间从事岗位技术特长1 2 3 4 5 6 7 8 9 10 11 12 13 14 总 人 数风险评估服务人员数目占组织总人数比例名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 12 页 -附表 2 人员情况表姓名性别出生年月职称学历毕业时间工作部门职务毕业学校专业信息安全技术领域工作经历（年数）教育和工作简历主要业绩名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 12 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 12 页 -