信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證申請(qǐng)書(shū)

1、申請(qǐng)編號(hào):信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證申請(qǐng)書(shū)（第 1 版）ISCCC申請(qǐng)組織（蓋章）：申請(qǐng)日期：中國(guó)信息安全認(rèn)證中心制目錄填表須知 1申請(qǐng)信息 21. 申請(qǐng)組織基本情況 32. 申請(qǐng)組織業(yè)績(jī)要求 33. 申請(qǐng)組織從事信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)人員情況 34. 申請(qǐng)組織管理情況 45. 申請(qǐng)組織設(shè)備、設(shè)施與環(huán)境情況 46. 申請(qǐng)組織信息系統(tǒng)災(zāi)難備份與恢復(fù)技術(shù)能力 57. 信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)過(guò)程要求 57.1 方案設(shè)計(jì)與驗(yàn)證 57.2 系統(tǒng)建設(shè)實(shí)施與管理 67.3 預(yù)案制定與演練67.4 教育與培訓(xùn)67.5 風(fēng)險(xiǎn)分析67.6 業(yè)務(wù)影響分析67.7 策略制定和方案設(shè)計(jì) 67.8 系統(tǒng)運(yùn)

2、行支持77.9 外部組織協(xié)作77.10 災(zāi)難恢復(fù)演練 77.11 災(zāi)難備份中心運(yùn)維 77.12 災(zāi)備系統(tǒng)建設(shè)77.13 基礎(chǔ)設(shè)施運(yùn)維管理 87.14 預(yù)案開(kāi)發(fā)與維護(hù) 87.15 災(zāi)難恢復(fù)演練 87.16 應(yīng)急與切換87.17 服務(wù)商管理8申請(qǐng)組織聲明 1附表1 1附表2 2附表3 3填表須知申請(qǐng)組織在正式填寫(xiě)本申請(qǐng)書(shū)前，需認(rèn)真閱讀以下內(nèi)容：1 申請(qǐng)組織應(yīng)仔細(xì)閱讀ISCCC-SV-004:2012信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù) 資質(zhì)認(rèn)證實(shí)施規(guī)則和 GB/T 20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難 恢復(fù)規(guī)范，并按照具體要求如實(shí)、詳細(xì)地填寫(xiě)申請(qǐng)書(shū)。2申請(qǐng)組織應(yīng)按照本申請(qǐng)書(shū)規(guī)定的格式進(jìn)行填寫(xiě)。若表格

3、空間不夠，可另加附頁(yè)。3 申請(qǐng)組織需提交信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證申請(qǐng)書(shū)（含附件及證明材料）紙版一份，并按要求加蓋單位公章，同時(shí)提交一份對(duì)應(yīng)的 電子文檔（刻錄光盤(pán)或 U盤(pán)）。申請(qǐng)信息1 申請(qǐng)組織的性質(zhì) A類(lèi)（不含外資背景） B類(lèi)（外資背景）2 申請(qǐng)類(lèi)型初次認(rèn)證再認(rèn)證變更認(rèn)證3 申請(qǐng)服務(wù)資質(zhì)級(jí)別 一級(jí)二級(jí)三級(jí)1. 申請(qǐng)組織基本情況申請(qǐng)組織全稱(chēng)（中文）：申請(qǐng)組織全稱(chēng)（英文）：法定代表人姓名：聯(lián)系人姓名： 職務(wù)： 地址：郵政編碼：電子郵箱：網(wǎng)址：聯(lián)系方式：電話：傳真：手機(jī)：本項(xiàng)還需提交以下資料：1）申請(qǐng)組織基本情況介紹；2）申請(qǐng)組織的營(yíng)業(yè)執(zhí)照/副本或上級(jí)主管部門(mén)批準(zhǔn)成立的文件復(fù)印件；3）申請(qǐng)

4、組織機(jī)構(gòu)代碼證或副本的復(fù)印件，稅務(wù)登記證復(fù)印件；4）近兩年財(cái)務(wù)審計(jì)報(bào)告及資產(chǎn)運(yùn)營(yíng)情況說(shuō)明；5）固定辦公場(chǎng)所證明材料，如房產(chǎn)證明或房屋租賃合同復(fù)印件等；6）從事信息安全服務(wù)、信息系統(tǒng)集成服務(wù)等相關(guān)資質(zhì)證書(shū)復(fù)印件。2. 申請(qǐng)組織業(yè)績(jī)要求本項(xiàng)應(yīng)包括以下內(nèi)容：1），對(duì)于已經(jīng)完成的項(xiàng)目,提供近三年信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)項(xiàng)目列表（附表提供項(xiàng)目合同書(shū)和驗(yàn)收證明材料復(fù)印件。3. 申請(qǐng)組織從事信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)人員情況本項(xiàng)應(yīng)包括以下內(nèi)容:1）信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)相關(guān)人員匯總表（附表2）；2）組織負(fù)責(zé)人情況（附表3）；3）技術(shù)負(fù)責(zé)人情況（附表3）；4）信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)負(fù)責(zé)人情況（附表

5、3）;5）質(zhì)量管理負(fù)責(zé)人情況（附表 3）；6）主要信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)人員情況（附表3）；7）主要服務(wù)人員任職、學(xué)歷、職稱(chēng)、業(yè)績(jī)證明材料復(fù)印件；8）人員資質(zhì)證書(shū)復(fù)印件，以及與公司簽訂的勞動(dòng)合同及保密協(xié)議復(fù)印件。4. 申請(qǐng)組織管理情況本項(xiàng)應(yīng)包括以下內(nèi)容：1）組織架構(gòu)圖、組織管理及崗位設(shè)置與職責(zé)，詳細(xì)介紹從事信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)的相關(guān)部門(mén)情況；2）文檔管理制度，確?？蛻粜畔踩?、可控的管理措施，包括紙質(zhì)和電子文檔管理；3）保密管理制度，開(kāi)展保密教育的培訓(xùn)計(jì)劃和記錄；4）人員管理制度，人員培訓(xùn)與考核管理程序，災(zāi)難備份與恢復(fù)技術(shù)培訓(xùn)與考核記錄；5）項(xiàng)目管理制度，包括項(xiàng)目計(jì)劃的制定、項(xiàng)目資金

6、管理、項(xiàng)目范圍及管理人員設(shè)定， 時(shí)間與進(jìn)度管理、項(xiàng)目過(guò)程記錄、項(xiàng)目監(jiān)督、項(xiàng)目驗(yàn)收等；6）質(zhì)量管理相關(guān)規(guī)定，以及在信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)項(xiàng)目中的落實(shí)情況；7）項(xiàng)目風(fēng)險(xiǎn)管理制度及在項(xiàng)目實(shí)施過(guò)程中的落實(shí)情況（一、二級(jí)資質(zhì)要求）；8）供應(yīng)商管理制度，明確管理職責(zé)，識(shí)別提供服務(wù)、系統(tǒng)構(gòu)件的供方資質(zhì)和能力，并 與供應(yīng)商建立有效的溝通機(jī)制（一、二級(jí)資質(zhì)要求）；9）參照GB/T 19001-2008質(zhì)量管理體系 要求建立和運(yùn)行質(zhì)量管理體系情況，并 通過(guò)認(rèn)證（一、二級(jí)資質(zhì)要求）；10）參考GB/T 22080-2008信息技術(shù) 安全技術(shù) 信息安全管理體系要求標(biāo)準(zhǔn)建立信 息安全管理體系，并通過(guò)認(rèn)證（一級(jí)資質(zhì)要

7、求）；11）參照GB/T 24405-2009信息技術(shù) 信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)建立信息技術(shù)服務(wù)管 理體系（一級(jí)資質(zhì)要求）。5. 申請(qǐng)組織設(shè)備、設(shè)施與環(huán)境情況本項(xiàng)應(yīng)包括以下內(nèi)容：1）信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)過(guò)程主要工具列表；2）具備獨(dú)立的測(cè)試與實(shí)驗(yàn)環(huán)境介紹及必要的軟、硬件設(shè)備列表；3）兩個(gè)以上不同區(qū)域自建或租賃數(shù)據(jù)中心/災(zāi)難備份中心情況介紹（一級(jí)資質(zhì)要求）。6. 申請(qǐng)組織信息系統(tǒng)災(zāi)難備份與恢復(fù)技術(shù)能力本項(xiàng)應(yīng)包括以下內(nèi)容：1）信息系統(tǒng)災(zāi)難備份與恢復(fù)工作流程及操作規(guī)范；2）信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)過(guò)程文檔模板；3）近一年開(kāi)展的信息系統(tǒng)災(zāi)難備份及恢復(fù)演練記錄；4）組織承擔(dān)或參加過(guò)的信息技術(shù)、信息安全

8、科研項(xiàng)目，信息技術(shù)產(chǎn)品研發(fā)情況；5）提供相關(guān)材料證明具備實(shí)施GB/T 20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范附錄 A中四級(jí)以上（含四級(jí)）數(shù)據(jù)備份技術(shù)和相關(guān)服務(wù)的能力，一、二級(jí) 要求具備五級(jí)以上（含五級(jí)）數(shù)據(jù)備份技術(shù)和相關(guān)服務(wù)的能力；6）根據(jù)服務(wù)業(yè)務(wù)的需求具備開(kāi)發(fā)信息安全產(chǎn)品或支持性工具的能力證明材料（一級(jí)資質(zhì)要求）；7）兩個(gè)已完成災(zāi)難備份與恢復(fù)信息系統(tǒng)建設(shè)項(xiàng)目，通過(guò)上級(jí)單位或權(quán)威第三方機(jī)構(gòu)評(píng)審的證明材料（一級(jí)資質(zhì)要求）。7. 信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)過(guò)程要求按照ISCCC-SV-004:2012信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則及相關(guān)標(biāo) 準(zhǔn)對(duì)服務(wù)過(guò)程的具體要求，結(jié)合一個(gè)

9、已完成的信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)項(xiàng)目案例，提供項(xiàng)目記錄證明服務(wù)過(guò)程能力。申請(qǐng)信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)三級(jí)資質(zhì)，需按照 7.1-7.4相關(guān)要求準(zhǔn)備材料，申請(qǐng) 信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)二級(jí)資質(zhì)，需按照7.1-7.10相關(guān)要求準(zhǔn)備材料，申請(qǐng)信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)一級(jí)資質(zhì)，需按照 7.1-7.17相關(guān)要求準(zhǔn)備材料。7.1方案設(shè)計(jì)與驗(yàn)證本項(xiàng)應(yīng)包括以下內(nèi)容：1）信息系統(tǒng)災(zāi)難備份與恢復(fù)調(diào)研表及需求分析報(bào)告；2）風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析相關(guān)材料；3）信息系統(tǒng)災(zāi)難備份與恢復(fù)技術(shù)方案；4）信息系統(tǒng)災(zāi)難備份與恢復(fù)實(shí)施方案；5）技術(shù)方案、實(shí)施方案評(píng)審記錄。7.2系統(tǒng)建設(shè)實(shí)施與管理本項(xiàng)應(yīng)提供內(nèi)容：1）按照項(xiàng)目建

10、設(shè)進(jìn)度，提供項(xiàng)目實(shí)施過(guò)程記錄;2）災(zāi)難備份與恢復(fù)系統(tǒng)測(cè)試方案及測(cè)試記錄；3）災(zāi)難備份與恢復(fù)系統(tǒng)建設(shè)實(shí)施相關(guān)管理措施。7.3預(yù)案制定與演練本項(xiàng)應(yīng)提供以下內(nèi)容:1）信息系統(tǒng)災(zāi)難備份與恢復(fù)預(yù)案;2）演練指揮協(xié)調(diào)程序；3）演練過(guò)程記錄和總結(jié)報(bào)告。7.4教育與培訓(xùn)本項(xiàng)應(yīng)包括以下內(nèi)容：1）保密意識(shí)培訓(xùn)計(jì)劃和培訓(xùn)記錄；2）業(yè)務(wù)連續(xù)性、災(zāi)難備份與恢復(fù)等專(zhuān)業(yè)技術(shù)培訓(xùn)記錄；3）對(duì)外部配合人員（如客戶）和第三方人員開(kāi)展相關(guān)技術(shù)培訓(xùn)記錄；4）信息系統(tǒng)災(zāi)難恢復(fù)演練培訓(xùn)相關(guān)記錄。7.5風(fēng)險(xiǎn)分析（一、二級(jí)要求）1）風(fēng)險(xiǎn)分析方案、風(fēng)險(xiǎn)分析報(bào)告；2）有優(yōu)先級(jí)別的災(zāi)難防護(hù)列表和可操作的風(fēng)險(xiǎn)處置方案。7.6業(yè)務(wù)影響分析（一、二級(jí)要

11、求）1）業(yè)務(wù)持續(xù)性計(jì)劃方案；2）依據(jù)核心業(yè)務(wù)流程所需 RTO、RPO等指標(biāo)，制定的關(guān)鍵業(yè)務(wù)功能恢復(fù)優(yōu)先順序和 策略。7.7策略制定和方案設(shè)計(jì)（一、二級(jí)要求）1）災(zāi)難備份與恢復(fù)短長(zhǎng)期及短期策略和目標(biāo)；2）獨(dú)立制定災(zāi)難備份與恢復(fù)服務(wù)技術(shù)方案和實(shí)施方案的證明材料。7.8系統(tǒng)運(yùn)行支持（一、二級(jí)要求）1）災(zāi)難備份與恢復(fù)系統(tǒng)進(jìn)行管理和運(yùn)行維護(hù)記錄；2）結(jié)合突發(fā)事件，進(jìn)行損失控制和損失評(píng)估的相關(guān)記錄；3）災(zāi)難備份與恢復(fù)系統(tǒng)運(yùn)行狀況評(píng)審記錄。7.9外部組織協(xié)作（一、二級(jí)要求）1）設(shè)備及服務(wù)提供商、通信、電力及其他相關(guān)管理部門(mén)清單；2）與外部協(xié)作組織簽訂的合作協(xié)議和服務(wù)級(jí)別協(xié)議；3）外部支持單位設(shè)置的物理和邏輯

12、安全控制措施的評(píng)審記錄。7.10災(zāi)難恢復(fù)演練（一、二級(jí)要求）1）災(zāi)難恢復(fù)演練規(guī)劃及人員職責(zé)劃分情況；2）信息系統(tǒng)災(zāi)難備份與恢復(fù)演練方案；3）不同場(chǎng)景和假設(shè)的演練記錄；4）災(zāi)難恢復(fù)演練總結(jié)報(bào)告。7.11災(zāi)難備份中心運(yùn)維（一級(jí)要求）1）災(zāi)難備份中心運(yùn)維管理制度和工作流程；2）災(zāi)難備份中心完整的組織架構(gòu)和相對(duì)獨(dú)立的運(yùn)行管理團(tuán)隊(duì)；運(yùn)維管理層制度、 實(shí)3）災(zāi)難備份中心日常監(jiān)控與操作管理制度，包括運(yùn)維整體規(guī)劃、施層制度和操作層制度等；4）信息安全管理措施在災(zāi)難備份中心運(yùn)行情況；5）災(zāi)難備份中心信息系統(tǒng)運(yùn)行監(jiān)控情況；6）災(zāi)難備份中心與生產(chǎn)中心間建立統(tǒng)一變更流程及相關(guān)規(guī)定；7）災(zāi)難備份系統(tǒng)評(píng)審與驗(yàn)證記錄；7.

13、12災(zāi)備系統(tǒng)建設(shè)（一級(jí)要求）1）數(shù)據(jù)備份系統(tǒng)建設(shè)與管理要求和數(shù)據(jù)復(fù)制/備份技術(shù)方案;2）備用處理系統(tǒng)建設(shè)與管理要求；3）備用網(wǎng)絡(luò)系統(tǒng)建設(shè)與管理要求；7.13基礎(chǔ)設(shè)施運(yùn)維管理（一級(jí)要求）1）基礎(chǔ)設(shè)施安全防護(hù)管理制度及運(yùn)維記錄；2）基礎(chǔ)設(shè)施運(yùn)行異常相應(yīng)和處理記錄；3）基礎(chǔ)設(shè)施容量檢查評(píng)估記錄；4）存儲(chǔ)介質(zhì)和數(shù)據(jù)管理制度。7.14預(yù)案開(kāi)發(fā)與維護(hù)（一級(jí)要求）1）信息系統(tǒng)災(zāi)難恢復(fù)預(yù)案體系，包括應(yīng)急預(yù)案和災(zāi)難恢復(fù)預(yù)案;2）應(yīng)急預(yù)案和災(zāi)難恢復(fù)預(yù)案維護(hù)記錄。7.15災(zāi)難恢復(fù)演練（一級(jí)要求）1）實(shí)際切換演練記錄；2）評(píng)估演練過(guò)程存在安全風(fēng)險(xiǎn)的相關(guān)記錄；3）災(zāi)難恢復(fù)演練報(bào)告。7.16應(yīng)急與切換（一級(jí)要求）1）應(yīng)急響應(yīng)流程；2）項(xiàng)目實(shí)施過(guò)程應(yīng)急與切換記錄；7.17服務(wù)商管理（一級(jí)要求）1）服務(wù)商管理制度；2）與服務(wù)商簽訂的書(shū)面合同和服務(wù)水平協(xié)議；3）針對(duì)關(guān)鍵設(shè)備和服務(wù)，與服務(wù)商簽訂的緊急供應(yīng)協(xié)議。申請(qǐng)組織聲明我組織正式提出信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證申請(qǐng)，承諾申請(qǐng)書(shū)中所提供的信息屬實(shí)，遵守中華人民共和國(guó)認(rèn)證認(rèn)可條例 及相關(guān)法規(guī)，按照中國(guó)信息安全認(rèn)證中心的有關(guān)程序和規(guī)范要求，接受認(rèn)證審核及證后監(jiān)督，遵守認(rèn)證證書(shū)、認(rèn)證標(biāo)志使用和公告的規(guī)定， 并及時(shí)繳納信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)認(rèn)證相關(guān)費(fèi)用。法定代表人（簽名）：申請(qǐng)組織（