信息安全服务资质申请书(风险评估二级)

信息安全服务资质申请书(风险评估二级)中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估二级）发布日期：2014年5月1日第PAGE2页共NUMPAGES38页编号：国家信息安全测评信息安全服务资质申请书(风险评估二级)申请单位（公章）：填表日期：©版权2014—中国信息安全测评中心DOCPROPERTY"发布日期"\*MERGEFORMAT2014年5月1日目录TOC\o"1-2"\h\zHYPERLINK\l"_Toc385087843"填表须知PAGEREF_Toc385087843\h3HYPERLINK\l"_Toc385087844"申请表PAGEREF_Toc385087844\h4HYPERLINK\l"_Toc385087845"一、申请单位基本情况PAGEREF_Toc385087845\h5HYPERLINK\l"_Toc385087846"二、申请单位概况PAGEREF_Toc385087846\h6HYPERLINK\l"_Toc385087847"三、申请单位资产运营情况PAGEREF_Toc385087847\h7HYPERLINK\l"_Toc385087848"四、申请单位人员情况PAGEREF_Toc385087848\h9HYPERLINK\l"_Toc385087849"五、申请单位的基本技术能力PAGEREF_Toc385087849\h15HYPERLINK\l"_Toc385087850"六、申请单位安全工程服务业绩PAGEREF_Toc385087850\h18HYPERLINK\l"_Toc385087851"七、申请单位的项目与组织管理能力PAGEREF_Toc385087851\h21HYPERLINK\l"_Toc385087852"7.1管理体系和管理职责PAGEREF_Toc385087852\h22HYPERLINK\l"_Toc385087853"7.2资源管理能力PAGEREF_Toc385087853\h24HYPERLINK\l"_Toc385087854"7.3项目过程管理能力PAGEREF_Toc385087854\h26HYPERLINK\l"_Toc385087855"八、申请单位安全风险评估服务过程能力PAGEREF_Toc385087855\h28HYPERLINK\l"_Toc385087856"8.1风险评估准备能力PAGEREF_Toc385087856\h29HYPERLINK\l"_Toc385087857"8.2安全风险评估服务的实施能力PAGEREF_Toc385087857\h31HYPERLINK\l"_Toc385087858"8.3保证过程能力PAGEREF_Toc385087858\h33HYPERLINK\l"_Toc385087859"九、申请单位获奖、资格授权情况PAGEREF_Toc385087859\h35HYPERLINK\l"_Toc385087860"十、申请单位在安全服务方面的发展规划PAGEREF_Toc385087860\h36HYPERLINK\l"_Toc385087861"十一、申请单位其他说明情况PAGEREF_Toc385087861\h37HYPERLINK\l"_Toc385087862"申请单位声明PAGEREF_Toc385087862\h38填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：中国信息安全测评中心对下列对象进行测评：信息技术产品信息系统提供信息安全服务的组织信息安全专业人员申请单位应仔细阅读《信息安全服务资质申请（安全风险评估二级）》，并按照其要求如实、详细地填写本申请书所有项目。申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章、签字的地方，必须加盖公章、签字，同时提交一份对应的电子文档。本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。如有疑问，请与中国信息安全测评中心联系。中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼邮编：100085电话：（010）82341582或82341568传真：82341100网址：HYPERLINK"http://www.itsec.gov.cn"http://www.itsec.gov.cn电子邮箱：HYPERLINK"mailto:cnitsec@itsec.gov.cn"cnitsec@itsec.gov.cn申请表中国信息安全测评中心：我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质测评活动。1．申请服务类型□A类（不具有外资背景）□B类（具有外资背景）2．申请服务内容□安全风险评估二级3．申请类型□初次申请　　　　　　□再次申请，第　　　次申请注：以上各项均为单选。申请单位（盖章）：申请日期：年月日申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：注册地址：办公地址：邮政编码法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）手机（）工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：已获的国家信息安全服务资质证书号码（附资质证书复印件）：其他重要的法律文件：申请单位概况本项包括以下要求：描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；给出总体的组织结构图（应体现组织与安全风险评估服务相关部门的关系）；描述与上述组织结构图相对应的各部门的职能。应明确涉及“安全风险评估服务”的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理、培训和管理等与各部门的对应关系。申请单位资产运营情况本项包括以下要求：单位近三年资产运营情况（表3－1）（加盖公章）；提供近三年审计报告与信用等级证明材料复印件（若无审计报告请提供加盖公章的资产负债表和损益表）；财务亏损或其它异常状况发生，请说明情况并提供证明材料。申请组织近三年资产运营情况表表3－1单位：万元人民币近三年资产负债表年年年年年年资产总额负债与所有者权益总额流动资产负债总额其中应收帐款其中流动负债平均应收帐款长期负债存货所有者权益平均存货其中实收资本固定资产原值未分配利润固定资产净值近三年损益表年年年年年年收入总额财务费用其中业务收入营业利润其中风险评估服务收入投资收益销售成本利润总额销售费用净利润销售利润管理费用注：安全风险评估服务费用包括：申请单位人员情况本项包括以下要求：单位负责人情况（表4－1）；安全技术负责人情况（表4－2）；质量管理负责人情况（表4－3）；以上负责人的任职、学历、职称、业绩证明材料复印件；与安全风险评估服相关（包括管理、业务、技术、质量、行政等方面）的所有人员名单（表4－4）；安全风险评估服务专业技术人员基本情况（表4－5）；提供拥有的CISP资格人员的CISP证书复印件。申请组织负责人情况表表4－1姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩申请组织技术负责人情况表4－2姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩申请组织质量管理负责人情况表4－3姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩与安全风险评估服务相关的所有人员名单表4－4序号姓　名性别学历/职称专业岗位所属部门备注总人数注：与安全风险评估服务相关的所有人员，包括管理、业务、技术、质量、行政等各方面相关的人员。安全服务专业技术人员基本情况表4－5序号部门名称姓名身份证号毕业专业毕业时间学历/职称安全服务证书从事岗位技术特长备注安全风险评估服务人员总人数公司总人数注：将CISP获证人员在备注栏中予以标注。申请单位的基本技术能力本项根据表内容详细填写，包括：自主开发产品情况（表5－1）；工作环境设施情况（表5－2）；常用安全风险评估服务工具情况（表5－3）；安全服务渠道（表5－4）。单位技术能力基本情况表表5－1自主开发产品情况产品名称产品概述产品功能和特点产品获资质情况表5－2工作环境设施情况分类型号数量服务器工作站网络设备网络安全设备其他表5－3常用安全风险评估工具名称功能描述版本工具提供商或开发人员表5－4服务渠道类别具体内容网址各地办事处、代理服务热线号码其它渠道申请单位安全工程服务业绩本项要求：按照表6－1中格式详细填写，并加盖单位公章；填写最近两个年度承接的包含“安全风险评估服务”内容的项目（以合同签订时间为准）；项目名称请严格按照合同填写（要包括签订单位、服务内容等完整的信息）；项目请务必按应用领域或行业顺序填写；完成的项目在“进展情况”中注明，并将合计填入“完成的项目总金额”；提供所有已验收项目的验收报告；注意填写数据以“万元”为单位；提供项目承接合同的复印件。申请单位近两年安全风险评估服务项目汇总表表6－1单位：万元序号项目名称（包含签定单位信息）项目所属行业合同金额风险评估服务费用其他费用风险评估服务费用比例项目内容项目进展情况验收情况备注123456789101112合计其中完成的项目总金额　注：如果项目是合作完成的，请在“备注”栏中说明合作单位，并详细描述自身所需完成的工作任务和项目费用。申请单位的项目与组织管理能力本项包括以下内容：风险评估服务管理体系和管理职责；资源管理；项目过程管理。管理体系和管理职责本项包括以下要求：描述申请单位覆盖“安全风险评估服务”业务的管理体系的建立情况，包括该业务体系建立所依据的标准、体系建立的时间、体系运行情况、相关体系文件的建立情况等。体系中的组织结构图、部门职责、人员岗位与职责等，要有“安全风险评估服务”内容的明确定义；提供一份完整的管理体系文件，如，质量。表7－1管理体系和管理职责情况描述制定的相关包括：1.资源管理能力本项包括以下要求：描述申请单位人力资源、设备资源、信息资源的管理情况，包括是否建立了指导人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档；描述如何进行资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的；提供一份人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档，如，程序文件。表7－2资源管理情况描述制定的相关规范包括：1.项目过程管理能力本项包括以下要求：描述申请单位项目过程管理情况，包括是否建立了规范和指导客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理等的规范性文档；描述具体市如何进行客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的；提供一份客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理、项目风险管理的规范性文档。表7－3项目过程管理情况描述制定的相关规范包括：1.申请单位安全风险评估服务过程能力本项包括以下内容：风险评估准备；评估安全对系统的影响的能力；评估系统安全威胁的能力；评估系统脆弱性的能力；评估已有安全措施的能力；评估系统安全风险的能力；检验与证实系统安全性的能力。风险评估准备能力本项包括以下要求：描述如何做好风险评估前期的准备的，包括是否建立了规范性文档，是否配备了相应资源等；提供一份具体包含风险评估准备工作的规范，如风险评估实施规范，风险评估实施等。表8－1风险评估准备能力情况描述制定的相关规范包括：1.安全风险评估服务的实施能力本项包括以下要求：描述风险服务过程的规范程度，包括是否建立了指导威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档，可制定一个文档，或多个文档；描述在具体项目中是如何进行威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的；提供一份威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险评估的规范性文档。表8－2工程过程能力情况描述制定的相关规范包括：1.保证过程能力本项包括以下要求：描述保证过程能力的程度，包括是否建立了指导如何检验与证实系统安全性的规范性文档；描述如何进行检验与证实系统安全性的；提供一份检验与证实系统安全性的文档。表8－3保证过程能力情况描述申请单位获奖、资格授权情况表9－1获奖情况序　号项目名称获奖等级获奖时间项目带头人授奖单位1234资格授权情况序　号授权资格名称授权范围授权时间授权期限授权单位1234其它资质序　号资质名称资质范围资质证书号码资质期限发证单位1234申请单位在信息安全服务方面的发展规划表10－1未来三年的发展规划申请单位其他说明情况表11－1近三年申请单位是否有项目验收未通过的情况？如有请说明原因。申请单位是否有违犯知识产权保护等有关法律的现象？如有请说明原因其它需要说明的问题申请单位声明本单位申请国家信息安全工程服务资质，愿意遵守《信息安全服务资质评估准则》及其配套规章的规定，按照中国信息安全测评中心的有关程序和规范要求，接受有关资质测评、证书管理、证后监督等全过程管理规定，包括被暂停或撤消证书时停止宣传，并交回资质证书的规定。同时我们承诺，本次申请不论获准与否，均按规定及时缴纳申请安全工程服务资质的有关费用，并对申请过程中涉及的所有信息保密，保护中国信息安全测评中心的所有权。法定代表人（签名）：申请单位（盖章）：年月日