信息安全服务资质申请书(风险评估一级).doc

1、编号：国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位（公章）： 填表日期： 版权 2014中国信息安全测评中心2014 年 5 月 1 日中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 2 页 共 49 页目 录填表须知 3申 请 表 4一、 申请单位基本情况 5二、 申请单位概况 6三、 申请单位近三年资产运营情况 7四、 申请单位人员情况 9五、 申请单位技术能力基本情况 14六、 申请单位的安全风险评估服务过程能力 176.1 风险评估的准备 186.2 评估系统安全威胁的能力 206.3 评估系统脆

2、弱性的能力 226.4 评估安全对系统的影响的能力 246.5 评估已有安全措施的能力 266.6 评估系统安全风险的能力 28七、 申请单位的项目和组织过程能力 307.1 实现质量保证的能力 317.2 管理项目风险的能力 337.3 规划项目技术活动的能力 357.4 监控技术活动的能力 377.5 提供不断发展的知识和技能的能力 397.6 与供应商协调的能力 41八、 申请单位安全服务项目汇总 43九、 申请单位获奖、资格授权情况 45十、 申请单位在安全服务方面的发展规划 46十一、 申请单位其他说明情况 .47十二、 申请单位附加信息 .48申请单位声明 49中国信息安全测评中心

3、(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 3 页 共 49 页填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1中国信息安全测评中心对下列对象进行测评： 信息技术产品 信息系统 提供信息安全服务的组织和单位 信息安全专业人员2申请单位应仔细阅读信息安全服务资质申请指南（风险评估一级） ，并按照其要求如实、详细地填写本申请书所有项目。3申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。5申请单位须提交本申请书（含附件及证明材料）纸

4、版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。6本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。7如有疑问，请与中国信息安全测评中心联系。中国信息安全测评中心地址：北京市海淀区上地西路 8 号院 1 号楼邮编：100085电话：（010）82341582 或 82341568传真：82341100网址：http:/电子邮箱：中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 4 页 共 49 页申 请 表中国信息安全测评中心：我单

5、位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质审核活动。1申请服务类型 A 类（不具有外资背景） B 类（具有外资背景）2申请服务内容 安全风险评估一级3申请类型 初次申请 再次申请，第 次申请注：以上各项均为单选。申请单位（盖章）：申请日期： 年 月 日中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 5 页 共 49 页一、申请单位基本情况申请单位全称（中文）： 申请单位全称（英文）： 注册地址： 办公地址： 邮政编码 法定代表人姓名： 职务： 联系人姓名： 职务：

6、 电子邮箱： 联系方式： 电话 （ ） 传真 （ ） 手机 （ ） 工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）： 法人机构代码（附法人机构代码证副本复印件）： 已获的国家信息安全服务资质证书号码（附资质证书复印件）： 其他重要的法律文件： 中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 6 页 共 49 页二、申请单位概况本项应包括以下内容：1 描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等） ；2 申请单位组织结构图（突出标明安全风险评估业务所在部门） ；3 描

7、述与上述组织结构图相对应的各部门的职能。 （其中要包括与“安全风险评估服务”有关的管理、研发、风险评估服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等工作内容） 。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 7 页 共 49 页三、申请单位近三年资产运营情况本项应包括以下内容：1 申请单位近三年资产运营情况（表 31） （加盖公章） ；2 提供近三年审计报告与信用等级证明材料复印件（若无审计报告请提供加盖公章的资产负债表和损益表） ；3 财务亏损或其它异常状况发生，请说明情况并提供证明材料。中国信息安全测评

8、中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 8 页 共 49 页申请单位近三年资产运营情况表表 31 单位：万元人民币年 年 年 年 年 年资 产 总 额 负 债 与 所 有 者 权 益 总 额流 动 资 产 负 债 总 额应 收 帐 款 流 动 负 债平 均 应 收 帐 款其中 长 期 负 债存 货 所 有 者 权 益其中平 均 存 货 实 收 资 本固 定 资 产 原 值其中 未 分 配 利 润近三年资产负债表固 定 资 产 净 值年 年 年 年 年 年收 入 总 额 财 务 费 用业 务 收 入 营 业 利 润其中 其 中 风

9、险 评 估 服 务 收 入 投 资 收 益销 售 成 本 利 润 总 额销 售 费 用 净 利 润销 售 利 润近三年损益表管 理 费 用注：其中安全风险评估服务收入包括： 中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 9 页 共 49 页四、申请单位人员情况本项应包括以下内容：1 申请单位负责人情况（表 41） ；2 申请单位技术负责人情况（表 42） ；3 申请单位安全服务负责人情况（表 43） ；4 以上负责人的任职、学历、职称、业绩证明材料复印件；5 信息安全风险评估服务专业技术人员名单（表 44） ；6 提供拥

10、有的 CISP 资格人员的 CISP 证书复印件。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 10 页 共 49 页申请单位负责人情况表表 41姓 名 性 别 出生年月 职 务职 称 学 历 毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业 绩中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 11 页 共 49 页申请单位技术负责人情况表 42 姓 名 性 别 出生年月 职 务职 称 学 历 毕业时间毕业学校毕业专业信息安全技

11、术领域工作经历（年数）学习和工作简历业 绩中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 12 页 共 49 页申请单位信息安全风险评估负责人情况表 43 姓 名 性 别 出生年月 职 务职 称 学 历 毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业 绩中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 13 页 共 49 页信息安全风险评估服务专业技术人员基本情况表 44序号 部门名称 姓 名 身份证号 毕业专业 毕业时间 学历

12、 职称 从事岗位 技术特长 备注安全风险评估服务人员数量公司总人数注：将 CISP 获证人员在备注栏中予以标注。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 14 页 共 49 页五、申请单位技术能力基本情况本项包括以下四项内容：1 自主开发产品情况，并提交相关产品资质复印件（表 51） ；2 工作环境设施情况（表 52） ；3 常用安全风险评估服务工具情况（表 53） ；4 信息安全风险评估服务渠道情况（表 54） 。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5

13、 月 1 日 第 15 页 共 49 页申请单位技术能力基本情况表表 51 自主开发产品情况产品名称产品概述产品功能和特点产品获资质情况表 52工作环境设施情况分 类 型 号 数 量服 务 器工 作 站网络设备网络安全设备其 他中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 16 页 共 49 页表 53常用安全风险评估工具名 称 功 能 描 述 版 本 工具提供商或开发人员表 54服务渠道类 别 具体内容网 址各地办事处、代理服务热线号码其它渠道中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）

14、发布日期：2014 年 5 月 1 日 第 17 页 共 49 页六、申请单位的安全风险评估服务过程能力本项包括以下六项内容：1 风险评估准备；2 评估安全对系统的影响的能力；3 评估系统安全威胁的能力；4 评估系统脆弱性的能力；5 评估已有安全措施的能力；6 评估系统安全风险的能力。填写要求：在“详细描述”中对所核查的能力进行文字描述说明，在“备注”中填写对应能力的相关证据名称，应具体到每个文档或记录的详细名称，如*系统风险评估报告 、 *核查表等。提供的证据资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评

15、估一级）发布日期：2014 年 5 月 1 日 第 18 页 共 49 页6.1 风险评估的准备本项要求：1 请详细描述申请单位是如何进行风险评估的前期准备工作的，包括确定风险评估的目标、范围、方法及流程等。2 提供一份具体项目中的风险评估实施的相应文档、记录，如，安全风险评估工作计划、方案等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 19 页 共 49 页表 61描述如何在风险评估前期如何进行准备的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。中国信息安全测评中心(CNITSEC)信

16、息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 20 页 共 49 页6.2 评估系统安全威胁的能力本项要求：1 详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征的；2 详细描述申请组织是如何对威胁的可能性进行评估的；3 提供一份具体项目中关于评估系统安全威胁的相应文档、记录，如系统面临威胁识别与分析等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 21 页 共 49 页表 62描述如何对系统安全威胁进行评估详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注

17、明证据名称。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 22 页 共 49 页6.3 评估系统脆弱性的能力本项要求：1 详细描述申请单位是如何对系统的脆弱性进行评估的，包括所选择的分析方法、工具，收集、分析、合成系统的脆弱性数据等；2 提供一份具体项目中关于系统脆弱性评估的相应文档、记录，如，人工核查表单、工具扫描报告、系统脆弱性列表等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 23 页 共 49 页表 63 描述如何评估系统脆弱性详细描述备

18、注注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 24 页 共 49 页6.4 评估安全对系统的影响的能力本项要求：1 详细描述申请单位是如何识别系统资产、评估系统资产影响的；2 提供一份具体项目中关于评估系统资产影响的相应文档、记录，如，资产识别清单、重要资产清单、资产影响分析等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 25 页 共 49 页表 64 描述如何评估安全对系统的影

19、响的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 26 页 共 49 页6.5 评估已有安全措施的能力本项要求：1 详细描述申请单位是如何评估系统当前已有的安全措施，以及已有措施的有效性的；2 提供一份具体项目中关于评估系统已有安全措施的相应文档、记录，如系统已有安全措施列表等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 27 页 共 49 页表 65 描述如何评估已有

20、安全措施的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 28 页 共 49 页6.6 评估系统安全风险的能力本项要求：1 详细描述申请单位是如何识别、分析和评估系统安全风险的，包括选择安全风险评估方法、安全风险的分析和计算、安全风险等级排列、提出安全风险的应对措施及残余风险的评价等；2 提供一份具体项目中关于评估系统安全风险的相应文档、记录，安全风险评估表、安全风险评估报告、风险处置计划等。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 29 页 共 49 页表 66 描述如何评估系统安全风险的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明证据名称。中国信息安全测评中心(CNITSEC)信息安全服务资质申请书（风险评估一级）发布日期：2014 年 5 月 1 日 第 30 页 共 49 页七、申请单位的项目和组织过程能力本项应包括以下六项内容：1 实现质量保证的能力；2 管理项目风险的能力；3 规划技术活动的能力；4 监控技术活动的能力；5 提供不断发展的知识和技能的能力；6 与供应商协调的能力。