信息系統(tǒng)安全服務(wù)資質(zhì)認證申請書

1、編號:國家信息安全測評信息安全服務(wù)資質(zhì)申請書（安全工程類一級）申請單位（公章）：填表日期：©版權(quán)2008中國信息安全測評中心2008年8 月 1 R填表須知3申請表4一、申請單位基本情況5二、申請單位概況6三、申請單位近三年資產(chǎn)運營情況7四、申請單位人員情況9五、申請單位技術(shù)能力基本情況14六、申請單位的信息系統(tǒng)安全工程過程能力176評估系統(tǒng)安全威脅的能力186.2 評估系統(tǒng)脆弱性的能力206.3 評估安全對系統(tǒng)的影響的能力226.4 評估系統(tǒng)安全風(fēng)險的能力246.5 確定系統(tǒng)的安全需求的能力266.6 確定系統(tǒng)的安全輸入的能力286.7 進行管理安全控制的能力306.8 進行監(jiān)測系

2、統(tǒng)安全狀況的能力326.9 進行安全性協(xié)調(diào)的能力346.10 進行檢測和證實系統(tǒng)安全性的能力366.11進行建立系統(tǒng)安全的保證證據(jù)的能力38七、申請單位的項目和組織過程能力407實現(xiàn)質(zhì)量保證的能力417.2 實現(xiàn)配置管理的能力437.3 管理項目風(fēng)險的能力457.4 監(jiān)控技術(shù)活動的能力477.5 規(guī)劃項目技術(shù)活動的能力497.6 管理系統(tǒng)工程支持環(huán)境的能力517.7 提供不斷發(fā)展的知識和技能的能力537.8 與供應(yīng)商協(xié)調(diào)的能力55八、申請單位安全服務(wù)項目匯總57九、申請單位獲獎、資格授權(quán)情況59十、申請單位在安全服務(wù)方面的發(fā)展規(guī)劃60十一、申請單位其他說明情況61申請單位聲明62填表須知用戶在

3、正式填寫本申請書前，須認真閱讀并理解以下內(nèi)容：1. 中國信息安全測評中心對下列對象進行測評：信息技術(shù)產(chǎn)品信息系統(tǒng)提供信息安全服務(wù)的組織和單位信息安全專業(yè)人員2. 申請單位應(yīng)仔細閱讀信息安全服務(wù)資質(zhì)申請指南（安全工程類一級），并按照 其要求如實、詳細地填寫本申請書所有項目。3. 申請單位應(yīng)按照申請書原有格式進行填寫。如填寫內(nèi)容較多，可另加附頁。4. 提交申請書之前，請仔細查驗申請書填寫是否有誤，須提供的附件以及證明材料 是否完整。5. 申請單位須提交信息安全服務(wù)資質(zhì)申請書（含附件及證明材料）紙版一份，要 求蓋章的地方，必須加蓋公章，同時提交一份對應(yīng)的電子文檔。6. 本申請書要求提供的附件及證明材

4、料須單獨裝訂成冊并編7. 如有疑問，請與中國信息安全測評中心聯(lián)系。中國信息安全測評中心地址：北京市海淀區(qū)上地西路8號院1號樓 郵編：100085電話：（010） 82341188 或 82341118傳真：82341100網(wǎng)址：ht tp：/www. it sec, gov, cn 電子郵箱：cnitsec® it sec. gov. cn中國信息安全測評中心：我單位正式提出信息安全服務(wù)資質(zhì)申請,并保證將按照信息安全服務(wù)資質(zhì)的要求, 提供所需的所有真實信息，并配合資質(zhì)審核活動。1. 申請服務(wù)類型 A類（不具有外資背景） B類（具有外資背景）2. 申請服務(wù)內(nèi)容安全工程（安全方案設(shè)計、安

5、全集成、安全監(jiān)控和維護、風(fēng)險評估、安全 咨詢等）3. 申請類型初次申請再次申請，第 次申請級別變更（原資質(zhì)級別：一級二級三級四級口五級）注意：除第二項外其余各項均為單選。申請單位（蓋章）：申請日期： 年 月 日申請單位基本情況申請單位全稱（中文）： 申請單位全稱（英文）：地址：郵政編碼法定代表人姓名：職務(wù)：聯(lián)系人姓名：職務(wù)：電子郵箱：聯(lián)系方式：電話（）傳真（）手機（）工商登記注冊號（附申請單位法人營業(yè)執(zhí)照副本或上級主管部門批準成立文件復(fù) 印件）：法人機構(gòu)代碼（附法人機構(gòu)代碼證副本復(fù)印件）：其他重要的法律文件:二、申請單位概況本項應(yīng)包括以下內(nèi)容:1. 描述單位基本情況（包括單位規(guī)模大小、隸屬關(guān)系

6、、發(fā)展歷史、業(yè)務(wù)結(jié) 構(gòu)、業(yè)績等）；2. 申請單位組織結(jié)構(gòu)圖：3. 申請單位部門職能文字描述（包括與安全服務(wù)有關(guān)的管理、研發(fā)、安全 服務(wù)實施、質(zhì)量保證、客戶服務(wù)、人力資源管理與培訓(xùn)、合同管理等）。三、申請單位近三年資產(chǎn)運營情況本項應(yīng)包括以下內(nèi)容:1. 申請單位近三年資產(chǎn)運營情況（加蓋公章）（表3-1）;2. 近三年審計報告與信用等級證明材料（若無審計報告請?zhí)峁┘由w公章的 資產(chǎn)負債表和損益表）；3. 安全服務(wù)費用包括：涉及安全內(nèi)容的系統(tǒng)設(shè)計費、軟件開發(fā)費、系統(tǒng)集 成費、服務(wù)費和培訓(xùn)費等；4. 財務(wù)虧損或其它異常狀況發(fā)生請?zhí)峁┳C明材料。申請單位近三年資產(chǎn)運營情況表表3-1單位:萬元人民幣近三年資產(chǎn)負

7、債表年年年年年年資產(chǎn)總額負債與所有希醯翻負債總、額其 中其中債削負債存貨所有#m平騎貨其 中本固破產(chǎn)原值未加湖固破產(chǎn)凈直近三年損益表年年年年年年q沁、額財務(wù)費用其 中業(yè)其中須mcx扌胸瞌利幗總、額瞬費用U!申請單位人員情況本項應(yīng)包括以下內(nèi)容：1. 申請單位負責(zé)人情況（表4一1）；2. 申請單位技術(shù)負責(zé)人情況（表4一2）；3. 申請單位安全服務(wù)負責(zé)人情況（表4一3）；4. 以上人員的任職、學(xué)歷、職稱、業(yè)績證明材料復(fù)印件;5. 安全服務(wù)專業(yè)技術(shù)人員名單（表4-4）；6. 提供2名具有CISP資格人員的CISP證書復(fù)印件。申請單位負責(zé)人情況表表4 1姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專

8、業(yè)信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）學(xué)習(xí)和工作簡歷業(yè)績表43申請單位技術(shù)負責(zé)人情況學(xué)習(xí)和工作簡歷姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專業(yè)信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）申請單位安全服務(wù)負責(zé)人情況姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專業(yè)信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）學(xué)習(xí)和工作簡歷業(yè)績表4#安全服務(wù)專業(yè)技術(shù)人員基本情況序號部門名稱姓名身份證號畢業(yè)專業(yè)畢業(yè)時間學(xué)歷職稱從事崗位技術(shù)特長備注安全服務(wù)人員數(shù)量安全服務(wù)人員數(shù)量占公司總?cè)藬?shù)比例五、申請單位技術(shù)能力基本情況本項包括以下四項內(nèi)容：1. 自主開發(fā)產(chǎn)品情況（表5-1）；2. 工作環(huán)境設(shè)施情況（表5-2）；3. 常用安全服務(wù)工具

9、情況（表5-3）；4. 安全服務(wù)網(wǎng)站情況（表5-4）o表51申請單位技術(shù)能力基本情況表自主開發(fā)產(chǎn)品情況產(chǎn)品名稱產(chǎn)品概述產(chǎn)品功能和特點產(chǎn)品認證情況表52工作環(huán)境設(shè)施情況分類型號數(shù)量服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全工具其 他表5 3常用安全服務(wù)工具名稱功能描述版本工具提供商或開發(fā)人員表54安全服務(wù)網(wǎng)站網(wǎng)址安全服務(wù)內(nèi)容更新頻率維護人數(shù)六、申請單位的信息系統(tǒng)安全工程過程能力本項應(yīng)包括以下十一項內(nèi)容：1. 評估系統(tǒng)安全威脅的能力；2. 評估系統(tǒng)脆弱性的能力；3. 評估安全對系統(tǒng)的影響的能力；4. 評估系統(tǒng)安全風(fēng)險的能力；5. 確定系統(tǒng)的安全需求的能力；6. 確定系統(tǒng)的安全輸入的能力；7. 進行管理安全控制的

10、能力；8. 進行監(jiān)測系統(tǒng)安全狀況的能力；9. 進行安全協(xié)調(diào)的能力：10. 進行檢測和證實系統(tǒng)安全性的能力；11. 進行建立系統(tǒng)安全的保證證據(jù)的能力。6.1評估系統(tǒng)安全威脅的能力本項要求：1. 詳細描述組織是如何識別系統(tǒng)所面臨的各種安全威脅及其性質(zhì)和特 征；2. 詳細描述組織是如何對威脅的可能性進行評估的：3. 提供一份具體項H中關(guān)于評佔系統(tǒng)安全威脅的相應(yīng)文檔、記錄。表6 1描述如何對系統(tǒng)安全威脅進行評估詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.2評估系統(tǒng)脆弱性的能力本項要求：1. 詳細描述組織是如何對系統(tǒng)的脆弱性進行評佔的，包括所選擇的分 析方法、工具

11、，收集、合成系統(tǒng)的脆弱性數(shù)據(jù)；2. 提供一份具體項口中關(guān)于系統(tǒng)脆弱性評估的相應(yīng)文檔、記錄，包括 系統(tǒng)脆弱性清單、攻擊測試報告等。表6#描述如何評估系統(tǒng)脆弱性詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.3評估安全對系統(tǒng)的影響的能力本項要求：1. 詳細描述組織是如何識別安全對所實施的系統(tǒng)有關(guān)系的影響，并對 發(fā)生影響的可能性進行評佔的；2. 提供一份具體項LI中關(guān)于評佔安全對系統(tǒng)的影響的相應(yīng)文檔、記錄, 如系統(tǒng)優(yōu)先級清單/系統(tǒng)資產(chǎn)分析表等。表63描述如何評估安全對系統(tǒng)的影響的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.4

12、評估系統(tǒng)安全風(fēng)險的能力本項要求：1. 詳細描述組織是如何識別出一給定環(huán)境中涉及到對某一系統(tǒng)有依賴 關(guān)系的安全風(fēng)險的；2. 詳細描述組織是如何對系統(tǒng)的安全風(fēng)險進行評佔，包括選擇風(fēng)險評 估方法、對風(fēng)險的優(yōu)先級排列方法等；3. 提供一份具體項目中關(guān)于評估系統(tǒng)安全風(fēng)險的相應(yīng)文檔、記錄。表65描述如何評估系統(tǒng)安全風(fēng)險的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.5確定系統(tǒng)的安全需求的能力本項要求：1. 詳細描述組織是如何明確地為系統(tǒng)識別出與安全相關(guān)的要求的：2. 提供一份具體項H中關(guān)于確定系統(tǒng)的安全需求的相應(yīng)文檔、記錄, 如安全策略，安全II標，安全需求分析報告等

13、。表65描述如何確定系統(tǒng)的安全需求的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.6確定系統(tǒng)的安全輸入的能力本項要求：1. 詳細描述組織是如何為系統(tǒng)的規(guī)劃者、設(shè)計者、實施者或用戶提供 他們所需的安全信息。信息包括安全體系結(jié)構(gòu)、設(shè)訃或?qū)嵤┻x擇以及 安全指南；2. 提供一份具體項目中關(guān)于確定系統(tǒng)的安全輸入的相應(yīng)文檔、記錄， 如系統(tǒng)安全體系設(shè)計方案，安全模型，各種安全相關(guān)的指南等。表67描述如何確定系統(tǒng)的安全輸入的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。6.7進行管理安全控制的能力本項要求：1. 詳細描述組織是如何保證集成

14、到系統(tǒng)設(shè)計中的已計劃的系統(tǒng)安全確 實山最終系統(tǒng)在運行狀態(tài)下達到。包括建立安全職責(zé)，管理所有用戶 和管理員的安全意識、培訓(xùn)和教育大綱以及對所有的安全配置進行管 理（軟件更新記錄、安全配置修改記錄等）；2. 提供一份具體項LI中關(guān)于進行管理安全控制的相應(yīng)文檔、記錄。注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。表6-7描述如何進行管理安全控制的能力詳細描述備 注6.8進行監(jiān)測系統(tǒng)安全狀況的能力本項要求：1. 詳細描述組織是如何對于安全風(fēng)險變化、事件記錄、安全防護措施進行監(jiān)視，并識別安全突發(fā)事件和對安全突發(fā)事件進行響應(yīng)的；2. 提供一份具體項LI中關(guān)于進行監(jiān)測系統(tǒng)安全狀況的相應(yīng)文

15、檔、記錄。表68描述如何進行監(jiān)測系統(tǒng)安全狀況的詳細描述備 注6.9進行安全性協(xié)調(diào)的能力本項要求：1. 詳細描述組織是如何進行安全性協(xié)調(diào)的，包括建立協(xié)調(diào)機制（各工 作組之間以及組內(nèi)部）并確保其實施的方法；2. 提供一份具體項IJ中關(guān)于進行安全性協(xié)調(diào)的相應(yīng)文檔、記錄。注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。表69描述如何進行安全協(xié)調(diào)的詳細描述備 注6.10進行檢測和證實系統(tǒng)安全性的能力本項要求：1. 詳細描述組織是如何進行檢測和證實系統(tǒng)的安全性的，包括檢測或 證實系統(tǒng)安全性的方法和工具；2. 提供一份具體項目中關(guān)于進行檢測和證實系統(tǒng)安全性的相應(yīng)文檔、 記錄，如測試計劃，檢

16、測結(jié)果，檢測報告等。表 6-10描述如何進行檢測和證實系統(tǒng)安全性的詳細描述備 注6.11進行建立系統(tǒng)安全的保證證據(jù)的能力本項要求：1. 詳細描述組織是如何建立系統(tǒng)安全的保證證據(jù)的，包括對保證的口 標進行識別、建立保證證據(jù)庫并對其進行分析等；2. 提供一份具體項忖中關(guān)于進行建立系統(tǒng)安全的保證證據(jù)的相應(yīng)文 檔、記錄。表 611描述如何建立系統(tǒng)安全的保證證據(jù)的詳細描述備 注七、申請單位的項目和組織過程能力本項應(yīng)包括以下八項內(nèi)容：1. 實現(xiàn)質(zhì)量保證的能力：2. 實現(xiàn)配置管理的能力；3. 管理項目風(fēng)險的能力：4. 監(jiān)控技術(shù)活動的能力：5. 規(guī)劃技術(shù)活動的能力；6. 管理系統(tǒng)工程支持環(huán)境的能力；7. 提供

17、不斷發(fā)展的知識和技能的能力;8. 與供應(yīng)商協(xié)調(diào)的能力。7.1實現(xiàn)質(zhì)量保證的能力本項要求：1. 詳細描述組織是如何實現(xiàn)質(zhì)量保證的；2. 提供組織實現(xiàn)質(zhì)量保證的相應(yīng)文檔、記錄。表71描述如何實現(xiàn)質(zhì)量保證的注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.2實現(xiàn)配置管理的能力本項要求：1. 詳細描述組織是如何進行管理配置的，包括維持已標識的配置單元 的數(shù)據(jù)和狀況，并對系統(tǒng)及其配置單元的變化進行分析和控制；2. 提供對整個系統(tǒng)進行管理配置的相應(yīng)文檔、記錄。表7-3描述如何對整個系統(tǒng)進行配置管理的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.3管

18、理項目風(fēng)險的能力本項要求：1. 詳細描述組織是如何管理項LI風(fēng)險的;2. 提供管理項風(fēng)險的相應(yīng)文檔、記錄。表7-3描述如何管理項目風(fēng)險詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.4監(jiān)控技術(shù)活動的能力本項要求：1. 詳細描述組織是如何進行監(jiān)控技術(shù)活動的，包括技術(shù)活動指導(dǎo)，項U資源的跟蹤，問題分析等；2. 提供關(guān)于進行監(jiān)控技術(shù)活動的相應(yīng)文檔、記錄。表7-5描述如何監(jiān)控技術(shù)活動詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.5規(guī)劃項目技術(shù)活動的能力本項要求：1. 詳細描述組織是如何規(guī)劃技術(shù)活動的，包括關(guān)鍵資源的識別，項LI費

19、用估算，確定工程過程，定義項目接口，項忖進度計劃等活動；2. 提供關(guān)于進行規(guī)劃技術(shù)活動的相應(yīng)文檔、記錄。表7-5描述如何規(guī)劃項目技術(shù)活動詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.6管理系統(tǒng)工程支持環(huán)境的能力本項要求：1. 詳細描述組織是如何管理系統(tǒng)工程支持環(huán)境；2. 提供關(guān)于管理系統(tǒng)工程支持環(huán)境的相應(yīng)文檔、記錄。表7-7描述如何管理系統(tǒng)工程支持環(huán)境詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.7提供不斷發(fā)展的知識和技能的能力本項要求：1. 詳細描述組織是如何提供不斷發(fā)展的知識和技能的；2. 提供關(guān)于提供不斷發(fā)展的知識和技能的相應(yīng)文檔、記錄。表7-7描述如何提供不斷發(fā)展的知識和技能詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。7.8與供應(yīng)商協(xié)調(diào)的能力本項要求：1. 詳細描述組織是如何與供應(yīng)商協(xié)調(diào)的；2. 提供關(guān)于如何與供應(yīng)商協(xié)調(diào)的相應(yīng)文檔、記錄。表7-9描述如何與供應(yīng)商協(xié)調(diào)的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱。八、申請單位安全服務(wù)項目匯總本項要求：1. 按照表81格式詳細填寫，并加蓋單位公章；2. 填寫最近兩個年度承接的安全服務(wù)