信息安全服務資質申請書(安全工程類一級)

1、編號:國家信息安全測評信息安全服務資質申請書（安全工程類一級）申請單位（公章）：填表日期：?版權2011中國信息安全測評中心2011年1月1日中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）目 錄填表須知3申請表41、 申請單位基本情況 52、 申請單位概況 63、 申請單位近三年資產(chǎn)運營情況 74、 申請單位人員情況 9五、申請單位技術能力基本情況14六、申請單位的信息系統(tǒng)安全工程過程能力 171.1 評估系統(tǒng)安全威脅的能力 181.2 評估系統(tǒng)脆弱性的能力201.3 評估安全對系統(tǒng)的影響的能力 221.4 評估系統(tǒng)安全風險的能力241.5 確定系統(tǒng)的安全需求的

2、能力261.6 確定系統(tǒng)的安全輸入的能力281.7 進行管理安全控制的能力301.8 進行監(jiān)測系統(tǒng)安全狀況的能力 321.9 進行安全性協(xié)調的能力341.10 進行檢測和證實系統(tǒng)安全性的能力 361.11 進行建立系統(tǒng)安全的保證證據(jù)的能力 387、 申請單位的項目和組織過程能力 407.1 實現(xiàn)質量保證的能力417.2 管理項目風險的能力 437.3 規(guī)劃項目技術活動的能力 457.4 監(jiān)控技術活動的能力477.5 提供不斷發(fā)展的知識和技能的能力 497.6 與供應商協(xié)調的能力 518、 申請單位安全服務項目匯總 539、 申請單位獲獎、資格授權情況 55十、申請單位在安全服務方面的發(fā)展規(guī)劃

3、56十一、申請單位其他說明情況 57十二、申請單位附加信息 58申請單位聲明 59填表須知用戶在正式填寫本申請書前，須認真閱讀并理解以下內(nèi)容：1 .中國信息安全測評中心對下列對象進行測評：信息技術產(chǎn)品信息系統(tǒng)提供信息安全服務的組織和單位信息安全專業(yè)人員2 .申請單位應仔細閱讀信息安全服務資質申請指南（安全工程類一級）»,并按照其要求如實、詳細地填寫本申請書所有項目。3 .申請單位應按照申請書原有格式進行填寫。如填寫內(nèi)容較多，可另加附頁。4 .提交申請書之前，請仔細查驗申請書填寫是否有誤，須提供的附件以及證明材料 是否完整。5 .申請單位須提交本申請書（含附件及證明材料）紙版一份，要求

4、蓋章的地方，必 須加蓋公章，同時提交一份對應的電子文檔。6 .本申請書要求提供的附件及證明材料須單獨裝訂成冊并編目。提供的資料須客觀、真實和完整，不要編輯、修改和摘錄，但可以進行脫密處理。7 .如有疑問，請與中國信息安全測評中心聯(lián)系。中國信息安全測評中心地址：北京市海淀區(qū)上地西路8號院1號樓郵編：100085電話：（010） 82341188 或 82341118傳真：82341100網(wǎng)址：電子由B箱：cnitsec申請表中國信息安全測評中心：我單位正式提出信息安全服務資質申請，并保證將按照信息安全服務資質的要求, 提供所需的所有真實信息，并配合資質審核活動。1 .申請服務類型 A類（不具有外

5、資背景） B類（具有外資背景）2 .申請服務內(nèi)容安全工程（安全風險評估、安全需求分析、安全方案設計、安全集成、安 全監(jiān)控和維護、安全咨詢等）3 .申請類型 初次申請 再次申請，第 次申請 級別變更（原資質級別：口一級 口二級 口三級 口四級 口五級）注意：除第二項外其余各項均為單選。申請單位（蓋章）：申請日期：年 月 日發(fā)布日期：2011年1月1日第7頁共59頁申請單位基本情況申請單位全稱（中文）： 申請單位全稱（英文）：注冊地址：辦公地址：郵政編碼法定代表人姓名：職務：聯(lián)系人姓名：職務：電子郵箱：聯(lián)系方式：電話（)傳真（)手機（)工商登記注冊號（附申請單位法人營業(yè)執(zhí)照副本或上級主管部門批準成

6、立文件復印件）：法人機構代碼（附法人機構代碼證副本復印件）：已獲的國家信息安全服務資質證書號碼（附資質證書復印件）：其他重要的法律文件：,申請單位概況本項應包括以下內(nèi)容：1 .描述單位基本情況（包括單位規(guī)模大小、隸屬關系、發(fā)展歷史、業(yè)務結 構、業(yè)績等）；2 .申請單位組織結構圖；3 .申請單位部門職能文字描述（包括與安全服務有關的管理、研發(fā)、安全 服務實施、質量保證、客戶服務、人力資源管理與培訓、合同管理等）三、申請單位近三年資產(chǎn)運營情況本項應包括以下內(nèi)容：1 .申請單位近三年資產(chǎn)運營情況（加蓋公章）（表3 1）;2 .近三年審計報告與信用等級證明材料（若無審計報告請?zhí)峁┘由w公章的 資產(chǎn)負債表

7、和損益表）；3 .安全服務費用包括：涉及安全內(nèi)容的系統(tǒng)設計費、軟件開發(fā)費、系統(tǒng)集 成費、服務費和培訓費等；4 .財務虧損或其它異常狀況發(fā)生請?zhí)峁┳C明材料。中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）申請單位近三年資產(chǎn)運營情況表表31單位：萬元人民幣近三年資產(chǎn)負債表年年年年年一年沙總額負債與所舊權益總街I資產(chǎn)負債總額其 中攵帳款其 中負債平均應收帳款長期負債存貨所有者權益平均存貨其 中實收資本固定資產(chǎn)J泉值己利潤固定資產(chǎn)凈值近年 損 血 表年年年年年年收入總額財其 中收入營業(yè)利潤其中安全服務收入投資收益利潤總額銷售費用凈禾潤銷售利潤第8頁共59頁發(fā)布日期：201

8、1年1月1日中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）四、申請單位人員情況本項應包括以下內(nèi)容：1 .申請單位負責人情況（表41）;2 .申請單位技術負責人情況（表42）;3 .申請單位安全服務負責人情況（表 4 3）;4 .以上人員的任職、學歷、職稱、業(yè)績證明材料復印件;5 .安全服務專業(yè)技術人員名單（表 4-4）;6 .提供已有CISP資格人員的CISP證書復印件。申請單位負責人情況表表41姓名，性別出生年月職務職稱學歷畢業(yè)時間畢業(yè)學校畢業(yè)專業(yè)信息安全技術領域工作經(jīng)歷（年數(shù)）學習和工作簡歷業(yè)績申請單位技術負責人情況表4 2姓名，性別出生年月職務職稱學歷畢業(yè)

9、時間畢業(yè)學校畢業(yè)專業(yè)信息安全技術領域工作經(jīng)歷（年數(shù)）學習和工作簡歷業(yè)績申請單位安全服務負責人情況表4 3姓名，性別出生年月職務職稱學歷畢業(yè)時間畢業(yè)學校畢業(yè)專業(yè)信息安全技術領域工作經(jīng)歷（年數(shù)）學習和工作簡歷業(yè)績發(fā)布日期：2011年1月1日第13頁共59頁中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）安全服務專業(yè)技術人員基本情況表4 4廳P部門名稱姓名身份證號畢業(yè)專業(yè)畢業(yè)時間學歷職稱從事崗位技術特長備注安全服務人員數(shù)量安全服務人員數(shù)量占公司總人數(shù)比例第13頁共59頁發(fā)布日期：2011年1月1日中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一

10、級）五、申請單位技術能力基本情況本項包括以下四項內(nèi)容：1 .自主開發(fā)產(chǎn)品情況（表51）;2 .工作環(huán)境設施情況（表5- 2）;3 .常用安全服務工具情況（表53）;4 .安全服務網(wǎng)站情況（表5-4）。發(fā)布日期：2011年1月1日第16頁共59頁中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）申請單位技術能力基本情況表表51自主開發(fā)產(chǎn)品情況產(chǎn)品名稱產(chǎn)品概述產(chǎn)品功能和特點產(chǎn)品認證情況表5 2工作環(huán)境設施情況分 類型號數(shù)縣 里服務器工作站網(wǎng)絡設備網(wǎng)絡安全設備其 他第15頁共59頁發(fā)布日期：2011年1月1日表5 3常用安全服務工具名稱功能描述版本工具提供商或開發(fā)人員表5

11、 4安全服務網(wǎng)站網(wǎng)址安全服務內(nèi)容更新頻率維護人數(shù)第16頁共59頁發(fā)布日期：2011年1月1日中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）六、申請單位的信息安全工程過程能力本項應包括以下H一項內(nèi)容：1 .評估系統(tǒng)安全威脅的能力；2 .評估系統(tǒng)脆弱性的能力；3 .評估安全對系統(tǒng)的影響的能力；4 .評估系統(tǒng)安全風險的能力；5 .確定系統(tǒng)的安全需求的能力；6 .確定系統(tǒng)的安全輸入的能力；7 .進行管理安全控制的能力；8 .進行監(jiān)測系統(tǒng)安全狀況的能力；9 .進行安全協(xié)調的能力；10 .進行檢測和證實系統(tǒng)安全性的能力；11 .進行建立系統(tǒng)安全的保證證據(jù)的能力。發(fā)布日期：2

12、011年1月1日第56頁共59頁6.1 評估系統(tǒng)安全威脅的能力本項要求：1 .詳細描述申請單位是如何識別系統(tǒng)所面臨的各種安全威脅及其性質 和特征；2 .詳細描述申請組織是如何對威脅的可能性進行評估的；3 .提供一份具體項目中關于評估系統(tǒng)安全威脅的相應文檔、記錄。表61描述如何對系統(tǒng)安全威脅進行評估詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.2 評估系統(tǒng)脆弱性的能力本項要求：1 .詳細描述申請單位是如何對系統(tǒng)的脆弱性進行評估的，包括所選擇的 分析方法、工具，收集、合成系統(tǒng)的脆弱性數(shù)據(jù)等；2,提供一份具體項目中關于系統(tǒng)脆弱性評估的相應文檔、記錄，包括系統(tǒng)脆弱性

13、清單、攻擊測試報告等。描述如何評估系統(tǒng)脆弱性詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.3 評估安全對系統(tǒng)的影響的能力本項要求：1 .詳細描述申請單位是如何識別系統(tǒng)資產(chǎn)和評估系統(tǒng)資產(chǎn)影響的；2 .提供一份具體項目中關于評估系統(tǒng)資產(chǎn)影響的相應文檔、記錄，如系統(tǒng)優(yōu)先級清單、系統(tǒng)資產(chǎn)影響分析表等。表6 3描述如何評估安全對系統(tǒng)的影響的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.4 評估系統(tǒng)安全風險的能力本項要求：1 .詳細描述申請單位是如何識別、分析和評估系統(tǒng)安全風險的，包括選 擇安全風險評估方法、安全風險的計算、安全風險等

14、級排列、提出安 全風險的應對措施等；2 .提供一份具體項目中關于評估系統(tǒng)安全風險的相應文檔、記錄。描述如何評估系統(tǒng)安全風險的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.5 確定系統(tǒng)的安全需求的能力本項要求：1 .詳細描述申請單位是如何進行系統(tǒng)安全需求分析并提出系統(tǒng)安全要 求的；2 .提供一份具體項目中關于確定系統(tǒng)的安全需求的相應文檔、記錄，如安全需求調查表、安全策略定義，安全目標定義，安全需求分析報告表6 5描述如何確定系統(tǒng)的安全需求的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.6 確定系統(tǒng)的安全輸入的能力本項要求:1

15、 .詳細描述申請單位是如何為系統(tǒng)的規(guī)劃者、設計者、實施者或用戶提 供他們所需的安全輸入的，包括對系統(tǒng)安全體系進行設計、編制安全 工程實施指南、系統(tǒng)安全運行操作指南和有關安全管理制度等文檔、 進行安全培訓等；2 .提供一份具體項目中關于確定系統(tǒng)的安全輸入的相應文檔、記錄，如系統(tǒng)安全體系設計方案，各種安全相關的指南等。表6 6描述如何確定系統(tǒng)的安全輸入的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.7 進行管理安全控制的能力本項要求：1 .詳細描述申請單位是如何對系統(tǒng)的安全控制進行管理的，包括控制系統(tǒng)在運行狀態(tài)最終實現(xiàn)所設計的安全程度，建立安全職責，對所有用 戶

16、和管理員實施安全意識教育和培訓，制定和維護教育大綱，對系統(tǒng) 進行合理配置等；2 .提供一份具體項目中關于進行管理安全控制的相應文檔、記錄。表6 7描述如何進行管理安全控制的能力詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.8 進行監(jiān)測系統(tǒng)安全狀況的能力本項要求：1 .詳細描述申請單位是如何監(jiān)測系統(tǒng)的安全狀態(tài)并處理安全突發(fā)事件 的；2 .提供一份具體項目中關于進行監(jiān)測系統(tǒng)安全狀況的相應文檔、記錄表6 8描述如何進行監(jiān)測系統(tǒng)安全狀況的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.9 進行安全性協(xié)調的能力本項要求：1 .詳細描述

17、申請單位是如何進行系統(tǒng)安全協(xié)調的，包括建立的協(xié)調機 制，系統(tǒng)安全協(xié)調的技術方法、具體措施等；2 .提供一份具體項目中關于進行安全性協(xié)調的相應文檔、記錄。描述如何進行安全協(xié)調的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.10 進行檢測和證實系統(tǒng)安全性的能力本項要求：1 .詳細描述申請單位是如何檢測和證實系統(tǒng)安全有效性的；2 .提供一份具體項目中關于檢測和證實系統(tǒng)安全性的相應文檔、記錄, 如測試方案，檢測記錄單，檢測報告等。表 610描述如何進行檢測和證實系統(tǒng)安全性的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱6.11 進行建

18、立系統(tǒng)安全的保證證據(jù)的能力本項要求:1 .詳細描述組織是如何建立系統(tǒng)安全的保證證據(jù)的， 包括對保證的目標 進行識別、建立保證證據(jù)庫并對其進行分析等；2,提供一份具體項目中關于進行建立系統(tǒng)安全的保證證據(jù)的相應文檔、 記錄。表 611描述如何建立系統(tǒng)安全的保證證據(jù)的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱七、申請單位的項目和組織過程能力本項應包括以下八項內(nèi)容：1 .實現(xiàn)質量保證的能力；2 .管理項目風險的能力；3 .規(guī)劃技術活動的能力；4 .監(jiān)控技術活動的能力；5 .提供不斷發(fā)展的知識和技能的能力；6 .與供應商協(xié)調的能力。7.1 實現(xiàn)質量保證的能力本項要求：

19、1 .詳細描述組織是如何實現(xiàn)質量保證的；2 .提供組織實現(xiàn)質量保證的相應文檔、記錄表71描述如何實現(xiàn)質量保證的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱7.2 管理項目風險的能力本項要求：1 .詳細描述組織是如何管理項目風險的;2 .提供管理項目風險的相應文檔、記錄。描述如何管理項目風險詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱7.3 規(guī)劃項目技術活動的能力本項要求：1 .詳細描述組織是如何規(guī)劃技術活動的， 包括關鍵資源的識別，項目費 用估算，確定工程過程，定義項目接口，項目進度計劃等活動；2 .提供關于進行規(guī)劃技術活動的

20、相應文檔、記錄。描述如何規(guī)劃項目技術活動詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱7.4 監(jiān)控技術活動的能力本項要求：1 .詳細描述組織是如何進行監(jiān)控技術活動的，包括技術活動指導，項目資源的跟蹤，問題分析等；2 .提供關于進行監(jiān)控技術活動的相應文檔、記錄。描述如何監(jiān)控技術活動詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱7.5 提供不斷發(fā)展的知識和技能的能力本項要求：1 .詳細描述組織是如何提供不斷發(fā)展的知識和技能的；2 .提供關于提供不斷發(fā)展的知識和技能的相應文檔、記錄表7 5描述如何提供不斷發(fā)展的知識和技能詳細描述備 注注

21、：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱7.6 與供應商協(xié)調的能力本項要求：1 .詳細描述組織是如何與供應商協(xié)調的；2 .提供關于如何與供應商協(xié)調的相應文檔、記錄描述如何與供應商協(xié)調的詳細描述備 注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明附件名稱八、申請單位安全服務項目匯總本項要求：1 .按照表8-1格式詳細填寫，并加蓋單位公章；2 .填寫最近兩個年度承接的安全服務項目（以合同簽訂時間為準，如屬 純銷貨合同項目，則不在填報范圍之內(nèi)）；3 .項目名稱請嚴格按照合同填寫；4 .項目請務必按應用領域或行業(yè)順序填寫；5 .完成項目在“進展情況”中注明，并將合計填入“完成的項目總金額”；6 .提供項目承接合同的復印件。中國信息安全測評中心（CNITSEC）信息安全服務資質申請書（安全工程類一級）申請單位近兩年安全服務項目匯總表表81單位：萬元序號項目名稱項目所屬 行業(yè)合同金額硬件購置 費用軟件購置 費用軟件開發(fā) 費用安全服務 費用安全服務費 用所占比例項目進展情況驗收 情況備注123456789101112合計其中完成的