国家信息安全测评认证

wa2846267
5 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

编号：国家信息安全测评认证信息系统安全服务资质认证申请书(一级)申请单位（公章）：填表日期：中国信息安全产品测评认证中心第2页共66页目录填表须知................................................................3申请表..............................................................4一，申请单位基本情况..................................................5二，企业组织结构......................................................6三，企业近三年资产运营情况............................................7四，企业主要负责人情况................................................9五，企业技术能力基本情况.............................................13六，企业的信息系统安全工程过程能力...................................18七，企业的项目和组织过程能力.........................................41八，企业安全服务项目汇总.............................................58九，企业安全培训软硬件情况...........................................60十，企业获奖、资格授权情况...........................................62十一，企业在安全服务方面的发展规划....................................63十二，企业其他说明情况................................................64十三，其他附件........................................................65申请单位声明...........................................................66第3页共66页填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1．中国信息安全产品测评认证中心对下列对象进行测评认证：信息技术产品信息系统提供信息安全服务的组织和单位信息安全专业人员2．申请单位应仔细阅读《信息系统安全服务资质认证指南》，并按照其要求如实、详细地填写本申请书所有项目。3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4．申请单位须提交《信息系统安全服务资质认证申请书》（含附件及证明材料）纸板一式叁份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。5．不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。6．不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。7．如有疑问，请与中国信息安全产品测评认证中心联系。中国信息安全产品测评认证中心地址：北京市西三环北路27号北科大厦9层邮编：100091电话：86－10－68428899传真：86－10－68462942网址：电子邮箱：cnitsec@itsec.gov.cn第4页共66页申请表中国信息安全产品测评认证中心：我单位正式提出信息系统安全服务资质认证申请，并保证将按照信息系统安全服务资质认证的要求，提供所需的所有真实信息，并配合认证活动。1．申请服务类型□A类（不具有外资背景）□B类（具有外资背景）2．申请服务内容□安全工程(安全方案设计、安全集成、安全监控和维护、风险评估、安全咨询等)□安全培训□CA运营□其他服务3．申请类型□初次申请□再次申请，第次申请□级别变更（原资质级别：□一级□二级□三级□四级□五级）注意：除第二项外其余各项均为单选。申请单位（盖章）：申请日期：年月日第5页共66页一，申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：地址：邮政编码法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）BP（）手机（）工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：其他重要的法律文件：第6页共66页二，企业组织结构本项应包括以下内容：1．企业组织结构图2．企业部门职能文字描述（包括与安全服务有关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等）第7页共66页三，企业近三年资产运营情况本项应包括以下内容：1.企业近三年资产运营情况（加盖公章）（表1）；2.近三年审计报告与信用等级证明材料（若无审计报告请提供加盖公章的资产负债表和损益表）；3.安全服务费用包括：涉及安全内容的系统设计费、软件开发费、系统集成费、服务费和培训费等；4.财务亏损或其它异常状况发生请提供证明材料。第8页共66页企业近三年资产运营情况表表1单位：万元人民币近三年资产负债表年年年年年年资产总额负债与所有者权益总额流动资产负债总额其中应收帐款其中流动负债平均应收帐款长期负债存货所有者权益平均存货其中实收资本固定资产原值未分配利润固定资产净值近三年损益表年年年年年年收入总额财务费用其中业务收入营业利润其中安全服务费用投资收益销售成本利润总额销售费用净利润销售利润管理费用第9页共66页四，企业主要负责人情况本项应包括以下内容：1.企业负责人情况（表2）2.企业技术负责人情况（表3）3.企业安全服务负责人情况（表4）4.以上人员的任职、学历、职称、业绩证明材料复印件第10页共66页企业负责人情况表表2姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩第11页共66页企业技术负责人情况表3姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩第12页共66页企业安全服务负责人情况表4姓名性别出生年月职务职称学历毕业时间毕业学校毕业专业信息安全技术领域工作经历（年数）学习和工作简历业绩第13页共66页五，企业技术能力基本情况本项根据表5内容详细填写，包括：1.安全服务主要人员基本情况；2.自主开发产品情况；3.工作环境设施情况；4.常用安全服务工具；5.安全服务网站。第14页共66页企业技术能力基本情况表表5安全服务主要人员基本情况序号部门名称姓名身份证号职称学历毕业专业毕业时间从事岗位技术特长总人数安全服务人员数目占公司总人数比例第15页共66页自主开发产品情况产品名称产品概述产品功能和特点产品认证情况第16页共66页工作环境设施情况分类型号数量服务器工作站网络设备网络安全工具其他常用安全服务工具名称功能描述版本工具提供商或开发人员第17页共66页安全服务网站网址安全服务内容更新频率维护人数第18页共66页六，企业的信息系统安全工程过程能力本项应包括以下十一项内容：1.评估系统安全威胁的能力2.评估系统脆弱性的能力3.评估安全对系统的影响的能力4.评估系统安全风险的能力5.确定系统的安全需求的能力6.确定系统的安全输入的能力7.进行管理安全控制的能力8.进行监测系统安全状况的能力9.进行安全协调的能力10.进行检测和证实系统安全性的能力11.进行建立系统安全的保证证据的能力第19页共66页6.1评估系统安全威胁的能力本项要求：1.详细描述组织是如何识别系统所面临的各种安全威胁及其性质和特征；2.详细描述组织是如何对威胁的可能性进行评估的；3.提供一份具体项目中关于评估系统安全威胁的相应文档记录；4.文档记录附在该项文字描述之后。第20页共66页表6-1描述如何对系统安全威胁进行评估详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第21页共66页6.2评估系统脆弱性的能力本项要求：1.详细描述组织是如何对系统的脆弱性进行评估的，包括所选择的分析方法、工具，收集、合成系统的脆弱性数据；2.提供一份具体项目中关于系统脆弱性评估的相应文档记录，包括系统脆弱性清单、攻击测试报告等；3.文档记录附在该项文字描述之后。第22页共66页表6-2描述如何评估系统脆弱性详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第23页共66页6.3评估安全对系统的影响的能力本项要求：1.详细描述组织是如何识别安全对所实施的系统有关系的影响，并对发生影响的可能性进行评估的；2.提供一份具体项目中关于评估安全对系统的影响的相应文档记录，如系统优先级清单/系统资产分析表等；3.文档记录附在该项文字描述之后。第24页共66页表6-3描述如何评估安全对系统的影响的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第25页共66页6.4评估系统安全风险的能力本项要求：1.详细描述组织是如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险的；2.详细描述组织是如何对系统的安全风险进行评估，包括选择风险评估方法、对风险的优先级排列方法等等；3.提供一份具体项目中关于评估系统安全风险的相应文档记录；4.文档记录附在该项文字描述之后。第26页共66页表6-4描述如何评估系统安全风险的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第27页共66页6.5确定系统的安全需求的能力本项要求：1.详细描述组织是如何明确地为系统识别出与安全相关的要求的；2.提供一份具体项目中关于确定系统的安全需求的相应文档记录，如安全策略，安全目标，安全需求分析报告等；3.文档记录附在该项文字描述之后。第28页共66页表6-5描述如何确定系统的安全需求的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第29页共66页6.6确定系统的安全输入的能力本项要求：1.详细描述组织是如何为系统的规划者、设计者、实施者或用户提供他们所需的安全信息。信息包括安全体系结构、设计或实施选择以及安全指南；2.提供一份具体项目中关于确定系统的安全输入的相应文档记录，如系统安全体系设计方案，安全模型，各种安全相关的指南等；3.文档记录附在该项文字描述之后。第30页共66页表6-6描述如何确定系统的安全输入的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第31页共66页6.7进行管理安全控制的能力本项要求：1.详细描述组织是如何保证集成到系统设计中的已计划的系统安全确实由最终系统在运行状态下达到。包括建立安全职责，管理所有用户和管理员的安全意识、培训和教育大纲以及对所有的安全配置进行管理（软件更新记录、安全配置修改记录等等）；2.提供一份具体项目中关于进行管理安全控制的相应文档记录；3.文档记录附在该项文字描述之后。第32页共66页表6-7描述如何进行管理安全控制的能力详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第33页共66页6.8进行监测系统安全状况的能力本项要求：1.详细描述组织是如何对于安全风险变化、事件记录、安全防护措施进行监视，并识别安全突发事件和对安全突发事件进行响应的；2.提供一份具体项目中关于进行监测系统安全状况的相应文档记录；3.文档记录附在该项文字描述之后。第34页共66页表6-8描述如何进行监测系统安全状况的详细描述备注注：请在“详细描述”中进行文字描述说明，在“备注”中注明附件名称。第35页共66页6.9进行安全性协调的能力本项要求：1.详细描述组织是如何进行安全性协调的，包括建立协调机制（各工作组之间以及组内部）