信息安全系统服务资质申请书(风险评估一级)3572.pdf

实用文档 编号：国家信息安全测评 信息安全服务资质申请书(风险评估一级)申请单位（公章）：填表日期：版权 2014中国信息安全测评中心 2014年5月1日 实用文档 目 录 填表须知.3 申 请 表.4 一、申请单位基本情况.5 二、申请单位概况.6 三、申请单位近三年资产运营情况.7 四、申请单位人员情况.9 五、申请单位技术能力基本情况.14 六、申请单位的安全风险评估服务过程能力.17 6.1 风险评估的准备.18 6.2 评估系统安全威胁的能力.20 6.3 评估系统脆弱性的能力.22 6.4 评估安全对系统的影响的能力.24 6.5 评估已有安全措施的能力.26 6.6 评估系统安全风险的能力.28 七、申请单位的项目和组织过程能力.30 7.1 实现质量保证的能力.31 7.2 管理项目风险的能力.33 7.3 规划项目技术活动的能力.35 7.4 监控技术活动的能力.37 7.5 提供不断发展的知识和技能的能力.39 7.6 与供应商协调的能力.41 八、申请单位安全服务项目汇总.43 九、申请单位获奖、资格授权情况.45 十、申请单位在安全服务方面的发展规划.46 十一、申请单位其他说明情况.47 十二、申请单位附加信息.48 申请单位声明.49 实用文档 填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容：1中国信息安全测评中心对下列对象进行测评：信息技术产品 信息系统 提供信息安全服务的组织和单位 信息安全专业人员 2申请单位应仔细阅读信息安全服务资质申请指南（风险评估一级），并按照其要求如实、详细地填写本申请书所有项目。3申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。5申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。6本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。7如有疑问，请与中国信息安全测评中心联系。中国信息安全测评中心 地址：北京市海淀区上地西路8 号院 1 号楼 邮编：100085 电话：（010）82341582或 82341568 传真：82341100 网址：http:/ 电子邮箱： 实用文档 申 请 表 中国信息安全测评中心：我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质审核活动。1申请服务类型 A 类（不具有外资背景）B 类（具有外资背景）2申请服务内容 安全风险评估一级 3申请类型 初次申请 再次申请，第 次申请 注：以上各项均为单选。申请单位（盖章）：申请日期：年 月 日 实用文档 一、申请单位基本情况 申请单位全称（中文）：申请单位全称（英文）：注册地址：办公地址：邮政编码 法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）手机（）工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：已获的国家信息安全服务资质证书号码（附资质证书复印件）：其他重要的法律文件：实用文档 二、申请单位概况 本项应包括以下内容：1 描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；2 申请单位组织结构图（突出标明安全风险评估业务所在部门）；3 描述与上述组织结构图相对应的各部门的职能。（其中要包括与“安全风险评估服务”有关的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等工作内容）。实用文档 三、申请单位近三年资产运营情况 本项应包括以下内容：1 申请单位近三年资产运营情况（表 31）（加盖公章）；2 提供近三年审计报告与信用等级证明材料复印件（若无审计报告请提供加盖公章的资产负债表和损益表）；3 财务亏损或其它异常状况发生，请说明情况并提供证明材料。实用文档 申请单位近三年资产运营情况表 表 31 单位：万元人民币 近三年资产负债表 年 年 年 年 年 年 资产总额 负债与所有者权益总 额 流动资产 负债总额 其 中 应收帐款 其 中 流动负债 平均应收帐款 长期负债 存货 所有者权益 平均存货 其 中 实收资本 固定资产原值 未分配利润 固定资产净值 近三年损益表 年 年 年 年 年 年 收入总额 财务费用 其 中 业务收入 营业利润 其中风险评估服务收 入 投资收益 销售成本 利润总额 销售费用 净利润 销售利润 管理费用 注：其中安全风险评估服务收入包括：实用文档 四、申请单位人员情况 本项应包括以下内容：1 申请单位负责人情况（表 41）；2 申请单位技术负责人情况（表 42）；3 申请单位安全服务负责人情况（表 43）；4 以上负责人的任职、学历、职称、业绩证明材料复印件；5 信息安全风险评估服务专业技术人员名单（表 44）；6 提供拥有的 CISP 资格人员的 CISP 证书复印件。实用文档 申请单位负责人情况表 表 41 姓 名 性 别 出生年月 职 务 职 称 学 历 毕业时间 毕业学校 毕业专业 信息安全技术领域工作经历（年数）学习和工作简历 业 绩 实用文档 申请单位技术负责人情况 表 42 姓 名 性 别 出生年月 职 务 职 称 学 历 毕业时间 毕业学校 毕业专业 信息安全技术领域工作经历（年数）学习和工作简历 业 绩 实用文档 申请单位信息安全风险评估负责人情况 表 43 姓 名 性 别 出生年月 职 务 职 称 学 历 毕业时间 毕业学校 毕业专业 信息安全技术领域工作经历（年数）学习和工作简历 业 绩 实用文档 信息安全风险评估服务专业技术人员基本情况 表 44 序号 部门名称 姓 名 身份证号 毕业专业 毕业时间 学历 职称 从事岗位 技术特长 备注 安全风险评估服务人员数量 公司总人数 注：将 CISP 获证人员在备注栏中予以标注。实用文档 五、申请单位技术能力基本情况 本项包括以下四项内容：1 自主开发产品情况，并提交相关产品资质复印件（表 51）；2 工作环境设施情况（表 52）；3 常用安全风险评估服务工具情况（表 53）；4 信息安全风险评估服务渠道情况（表 54）。实用文档 申请单位技术能力基本情况表 表 51 自主开发产品情况 产品名称 产品概述 产品功能和特点 产品获资质情况 表 52 工作环境设施情况 分 类 型 号 数 量 服 务 器 工 作 站 网络设备 网络安全设备 其 他 实用文档 表 53 常用安全风险评估工具 名 称 功 能 描 述 版 本 工具提供商或开发人员 表 54 服务渠道 类 别 具体内容 网 址 各地办事处、代理 服务热线号码 其它渠道 实用文档 六、申请单位的安全风险评估服务过程能力 本项包括以下六项内容：1 风险评估准备；2 评估安全对系统的影响的能力；3 评估系统安全威胁的能力；4 评估系统脆弱性的能力；5 评估已有安全措施的能力；6 评估系统安全风险的能力。填写要求：在“详细描述”中对所核查的能力进行文字描述说明，在“备注”中填写对应能力的相关证据名称，应具体到每个文档或记录的详细名称，如*系统风险评估报告、*核查表等。提供的证据资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。实用文档 6.1 风险评估的准备 本项要求：1请详细描述申请单位是如何进行风险评估的前期准备工作的，包括确定风险评估的目标、范围、方法及流程等。2提供一份具体项目中的风险评估实施的相应文档、记录，如，安全风险评估工作计划、方案等。实用文档 表 61 描述如何在风险评估前期如何进行准备的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 6.2 评估系统安全威胁的能力 本项要求：1详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征的；2详细描述申请组织是如何对威胁的可能性进行评估的；3提供一份具体项目中关于评估系统安全威胁的相应文档、记录，如系统面临威胁识别与分析等。实用文档 表 62 描述如何对系统安全威胁进行评估 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 6.3 评估系统脆弱性的能力 本项要求：1详细描述申请单位是如何对系统的脆弱性进行评估的，包括所选择的分析方法、工具，收集、分析、合成系统的脆弱性数据等；2提供一份具体项目中关于系统脆弱性评估的相应文档、记录，如，人工核查表单、工具扫描报告、系统脆弱性列表等。实用文档 表 63 描述如何评估系统脆弱性 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 6.4 评估安全对系统的影响的能力 本项要求：1详细描述申请单位是如何识别系统资产、评估系统资产影响的；2提供一份具体项目中关于评估系统资产影响的相应文档、记录，如，资产识别清单、重要资产清单、资产影响分析等。实用文档 表 64 描述如何评估安全对系统的影响的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 6.5 评估已有安全措施的能力 本项要求：1详细描述申请单位是如何评估系统当前已有的安全措施，以及已有措施的有效性的；2提供一份具体项目中关于评估系统已有安全措施的相应文档、记录，如系统已有安全措施列表等。实用文档 表 65 描述如何评估已有安全措施的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 6.6 评估系统安全风险的能力 本项要求：1详细描述申请单位是如何识别、分析和评估系统安全风险的，包括选择安全风险评估方法、安全风险的分析和计算、安全风险等级排列、提出安全风险的应对措施及残余风险的评价等；2提供一份具体项目中关于评估系统安全风险的相应文档、记录，安全风险评估表、安全风险评估报告、风险处置计划等。实用文档 表 66 描述如何评估系统安全风险的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 七、申请单位的项目和组织过程能力 本项应包括以下六项内容：1 实现质量保证的能力；2 管理项目风险的能力；3 规划技术活动的能力；4 监控技术活动的能力；5 提供不断发展的知识和技能的能力；6 与供应商协调的能力。实用文档 7.1 实现质量保证的能力 本项要求：1 详细描述组织是如何实现质量保证的；2 提供组织实现质量保证的相应文档、记录。实用文档 表 71 描述如何实现质量保证的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 7.2 管理项目风险的能力 本项要求：1 详细描述组织是如何管理项目风险的；2 提供管理项目风险的相应文档、记录。实用文档 表 72 描述如何管理项目风险 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 7.3 规划项目技术活动的能力 本项要求：1 详细描述组织是如何规划技术活动的，包括关键资源的识别，项目费用估算，确定工程过程，定义项目接口，项目进度计划等活动；2 提供关于进行规划技术活动的相应文档、记录。实用文档 表 73 描述如何规划项目技术活动 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 7.4 监控技术活动的能力 本项要求：1 详细描述组织是如何进行监控技术活动的，包括技术活动指导，项目资源的跟踪，问题分析等；2 提供关于进行监控技术活动的相应文档、记录，如，项目的进度跟踪表、项目资源使用情况跟踪、项目的沟通与协调、问题的分析与处理等。实用文档 表 74 描述如何监控技术活动 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 7.5 提供不断发展的知识和技能的能力 本项要求：1 详细描述组织是如何提供不断发展的知识和技能的；2 提供关于提供不断发展的知识和技能的相应文档、记录。实用文档 表 75 描述如何提供不断发展的知识和技能 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 7.6 与供应商协调的能力 本项要求：1 详细描述组织是如何与供应商协调的；2 提供关于如何与供应商协调的相应文档、记录。实用文档 表 76 描述如何与供应商协调的 详细描述 备注 注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。实用文档 八、申请单位信息安全风险评估服务项目汇总 本项要求：1 按照表 81 格式详细填写，并加盖单位公章；2 填写最近两个年度承接的包含“安全风险评估服务”内容的项目（以合同签订时间为准）；3 项目名称请严格按照合同填写（要包括签订单位、服务内容等完整的信息）；4 项目请务必按应用领域或行业顺序填写；5 完成项目在“进展情况”中注明，并将合计填入“完成的项目总金额”；6 提供所有已验收项目的验收报告；7 注意填写数据以“万元”为单位；8 提供项目承接合同的复印件。实用文档 申请单位近两年安全风险评估服务项目汇总表 表 81 单位：万元 序号 项目名称 （包含签定单位信息）项目所属 行业 合同金额 风险评估 服务费用 其他费用 风险评估服务费用比例 项目内容 项目进展情况 验收 情况 备注 1 2 3 4 5 6 7 8 9 10 11 12 合计 其中完成的项目总金额 注：如果项目是合作完成的，请在“备注”栏中说明合作单位，并详细描述自身所需完成的工作任务和项目费用。实用文档 九、申请单位获奖、资格授权情况 表 91 获奖情况 序号 项目名称 获奖等级 获奖时间 项目带头人 授奖单位 1 2 3 资格授权情况 序号 授权资格名称 授权范围 授权时间 授权期限 授权单位 1 2 3 其它资质 序号 资质名称 资质范围 资质证书号码 资质期限 发证单位 1 2 3 注：需提交所列资质的复印件。实用文档 十、申请单位在安全服务方面的发展规划 表 101 申请单位在未来三年的发展规划 实用文档 十一、申请单位其他说明情况 表 111 近三年申请单位是否有项目验收未通过的情况？如有请说明原因 申请单位是否有违犯知识产权保护等有关法律的现象？如有请说明原因 其它需要说明的问题 实用文档 十二、申请单位附加信息 本项要求：1 申请单位下载申请单位情况调查表（表 121）和申请单位安全服务项目使用安全产品调查表（表 122）；2 按照要求严格填写上述表格，填写中表格可以加行，但需保持电子表格的格式不变；3 提供相应电子版和纸版各一份（需盖章），表格中注明相应附件的还需提供相应附件材料。实用文档 申请单位声明 本单位申请国家信息安全服务资质，愿意遵守信息安全服务资质评估准则及其配套规章的规定，按照中国信息安全测评中心的有关程序和规范要求，接受有关资质测评、证书管理、证后监督等全过程管理规定，包括被暂停或撤消证书时停止宣传，并交回资质证书的规定。同时我们承诺，本次申请不论获准与否，均按规定及时缴纳申请安全服务资质的有关费用，并对申请过程中涉及的所有信息保密，保护中国信息安全测评中心的所有权。法定代表人（签名）：申请单位（盖章）：年 月 日