信息安全服務資質(zhì)申請書（風險評估一級)

1、編號：編號：國家信息安全測評國家信息安全測評信息安全服務資質(zhì)申請書信息安全服務資質(zhì)申請書( (風險評估一級風險評估一級) )申請單位（公章）：申請單位（公章）： 填表日期：填表日期： 2014中國信息安全測評中心2014 年 5 月 1 日目 錄填表須知填表須知.3 3申申 請請 表表.4 4一、一、申請單位基本情況申請單位基本情況 .5 5二、二、申請單位概況申請單位概況.6 6三、三、申請單位近三年資產(chǎn)運營情況申請單位近三年資產(chǎn)運營情況.7 7四、四、申請單位人員情況申請單位人員情況 .9 9五、五、申請單位技術(shù)能力基本情況申請單位技術(shù)能力基本情況.1414六、六、申請單位的安全風險評估服

2、務過程能力申請單位的安全風險評估服務過程能力 .17176.1風險評估的準備.186.2評估系統(tǒng)安全威脅的能力.206.3評估系統(tǒng)脆弱性的能力 .226.4評估安全對系統(tǒng)的影響的能力.246.5評估已有安全措施的能力.266.6評估系統(tǒng)安全風險的能力.28七、七、申請單位的項目和組織過程能力申請單位的項目和組織過程能力.30307.1實現(xiàn)質(zhì)量保證的能力 .317.2管理項目風險的能力 .337.3規(guī)劃項目技術(shù)活動的能力.357.4監(jiān)控技術(shù)活動的能力 .377.5提供不斷發(fā)展的知識和技能的能力.397.6與供應商協(xié)調(diào)的能力 .41八、八、申請單位安全服務項目匯總申請單位安全服務項目匯總.4343

3、九、九、申請單位獲獎、資格授權(quán)情況申請單位獲獎、資格授權(quán)情況.4545十、十、申請單位在安全服務方面的發(fā)展規(guī)劃申請單位在安全服務方面的發(fā)展規(guī)劃 .4646十一、十一、申請單位其他說明情況申請單位其他說明情況 .4747十二、十二、申請單位附加信息申請單位附加信息.4848申請單位聲明申請單位聲明.4949填表須知填表須知用戶在正式填寫本申請書前，須用戶在正式填寫本申請書前，須認真閱讀認真閱讀并理解以下容：并理解以下容：1中國信息安全測評中心對下列對象進行測評：信息技術(shù)產(chǎn)品信息系統(tǒng)提供信息安全服務的組織和單位信息安全專業(yè)人員2申請單位應仔細閱讀信息安全服務資質(zhì)申請指南（風險評估一級） ，并按照其

4、要求如實、詳細地填寫本申請書所有項目。3申請單位應按照申請書原有格式進行填寫。如填寫容較多，可另加附頁。4提交申請書之前，請仔細查驗申請書填寫是否有誤，須提供的附件以及證明材料是否完整。5申請單位須提交本申請書（含附件及證明材料）紙版一份，要求蓋章的地方，必須加蓋公章，同時提交一份對應的電子文檔。6本申請書要求提供的附件及證明材料須單獨裝訂成冊并編目。提供的資料須客觀、真實和完整，不要編輯、修改和摘錄，但可以進行脫密處理。7如有疑問，請與中國信息安全測評中心聯(lián)系。中國信息安全測評中心地址：市海淀區(qū)上地西路 8 號院 1 號樓郵編：100085：（010）82341582 或 82341568傳

5、真：82341100網(wǎng)址：電子：申申 請請 表表中國信息安全測評中心：中國信息安全測評中心：我單位正式提出信息安全服務資質(zhì)申請，并保證將按照信息安全服務資質(zhì)的要求，提供所需的所有真實信息，并配合資質(zhì)審核活動。1申請服務類型 A 類（不具有外資背景） B 類（具有外資背景）2申請服務容 安全風險評估一級3申請類型 初次申請 再次申請，第次申請注：以上各項均為單選。注：以上各項均為單選。申請單位（蓋章）（蓋章）：申請日期： 年 月 日一、一、申請單位基本情況申請單位基本情況申請單位全稱（中文）： 申請單位全稱（英文）： 注冊地址： 辦公地址： 郵政編碼 法定代表人： 職務： 聯(lián)系人： 職務： 電子

6、： 聯(lián)系方式： （ ） 傳真 （ ） 手機 （ ） 工商登記注冊號（附申請單位法人營業(yè)執(zhí)照副本單位法人營業(yè)執(zhí)照副本或上級主管部門批準成立文件或上級主管部門批準成立文件復印件復印件）： 法人機構(gòu)代碼（附法人機構(gòu)代碼證副本復印件法人機構(gòu)代碼證副本復印件）： 已獲的國家信息安全服務資質(zhì)證書（附資質(zhì)證書復印件資質(zhì)證書復印件）： 其他重要的法律文件： 二、二、申請單位申請單位概況概況本項應包括以下容：1描述單位基本情況（包括單位規(guī)模大小、隸屬關(guān)系、發(fā)展歷史、業(yè)務結(jié)構(gòu)、業(yè)績等） ；2申請單位組織結(jié)構(gòu)圖（突出標明安全風險評估業(yè)務所在部門） ；3描述與上述組織結(jié)構(gòu)圖相對應的各部門的職能。 （其中要包括與“安全

7、風險評估服務”有關(guān)的管理、研發(fā)、風險評估服務實施、質(zhì)量保證、客戶服務、人力資源管理與培訓、合同管理等工作容） 。三、三、申請單位近三年資產(chǎn)運營情況申請單位近三年資產(chǎn)運營情況本項應包括以下容：1申請單位近三年資產(chǎn)運營情況（表 31） （加蓋公章）（加蓋公章） ；2提供近三年審計報告與信用等級證明材料復印件（若無審計報告請?zhí)峁┘由w公章的資產(chǎn)負債表和損益表加蓋公章的資產(chǎn)負債表和損益表） ；3財務虧損或其它異常狀況發(fā)生，請說明情況并提供證明材料。申請單位近三年資產(chǎn)運營情況申請單位近三年資產(chǎn)運營情況表表表 31 單位：萬元人民幣年年年年年年資產(chǎn)總額負債與所有者權(quán)益總額流動資產(chǎn)負債總額應收帳款流動負債平均

8、應收帳款 其 中長期負債存貨所有者權(quán)益其中平均存貨實收資本固定資產(chǎn)原值其中未分配利潤近近三三年年資資產(chǎn)產(chǎn)負負債債表表固定資產(chǎn)凈值年年年年年年收入總額財務費用業(yè)務收入營業(yè)利潤其中其中 風險評估 服務 收入投資收益銷售成本利潤總額銷售費用凈利潤銷售利潤近近三三年年損損益益表表管理費用注：其中安全風險評估服務收入包括： 四、四、申請單位人員情況申請單位人員情況本項應包括以下容：1申請單位負責人情況（表 41） ；2申請單位技術(shù)負責人情況（表 42） ；3申請單位安全服務負責人情況（表 43） ；4以上負責人的任職、學歷、職稱、業(yè)績證明材料復印件以上負責人的任職、學歷、職稱、業(yè)績證明材料復印件；5信息

9、安全風險評估服務專業(yè)技術(shù)人員（表 44） ；6提供擁有的 CISP 資格人員的 CISPCISP 證書復印件證書復印件。申請單位負責人情況表申請單位負責人情況表表 41姓姓 名名性性 別別出生年月出生年月職職 務務職職 稱稱學學 歷歷畢業(yè)時間畢業(yè)時間畢業(yè)學校畢業(yè)學校畢業(yè)專業(yè)畢業(yè)專業(yè)信息安全技術(shù)領域工作經(jīng)歷（年數(shù)）信息安全技術(shù)領域工作經(jīng)歷（年數(shù)）學習和工作簡歷學習和工作簡歷業(yè)業(yè) 績績申請單位技術(shù)負責人情況申請單位技術(shù)負責人情況表 42 姓姓 名名性性 別別出生年月出生年月職職 務務職職 稱稱學學 歷歷畢業(yè)時間畢業(yè)時間畢業(yè)學校畢業(yè)學校畢業(yè)專業(yè)畢業(yè)專業(yè)信息安全技術(shù)領域工作經(jīng)歷（年數(shù)）信息安全技術(shù)領域

10、工作經(jīng)歷（年數(shù)）學習和工作簡歷學習和工作簡歷業(yè)業(yè) 績績申請單位信息安全風險評估負責人情況申請單位信息安全風險評估負責人情況表 43 姓姓 名名性性 別別出生年月出生年月職職 務務職職 稱稱學學 歷歷畢業(yè)時間畢業(yè)時間畢業(yè)學校畢業(yè)學校畢業(yè)專業(yè)畢業(yè)專業(yè)信息安全技術(shù)領域工作經(jīng)歷（年數(shù)）信息安全技術(shù)領域工作經(jīng)歷（年數(shù)）學習和工作簡歷學習和工作簡歷業(yè)業(yè) 績績信息安全風險評估服務專業(yè)技術(shù)人員基本情況信息安全風險評估服務專業(yè)技術(shù)人員基本情況表 44序號序號部門名稱部門名稱姓姓 名名號號畢業(yè)專業(yè)畢業(yè)專業(yè)畢業(yè)時間畢業(yè)時間學歷學歷職稱職稱從事崗位從事崗位技術(shù)特長技術(shù)特長備注備注安全風險評估服務人員數(shù)量安全風險評估服

11、務人員數(shù)量公司總?cè)藬?shù)公司總?cè)藬?shù)注：將 CISP 獲證人員在備注欄中予以標注。五、五、申請單位技術(shù)能力基本情況申請單位技術(shù)能力基本情況本項包括以下四項容：1自主開發(fā)產(chǎn)品情況，并提交相關(guān)產(chǎn)品資質(zhì)復印件產(chǎn)品資質(zhì)復印件（表 51） ；2工作環(huán)境設施情況（表 52） ；3常用安全風險評估服務工具情況（表 53） ；4信息安全風險評估服務渠道情況（表 54） 。申請單位技術(shù)能力基本情況表申請單位技術(shù)能力基本情況表表 51 自主開發(fā)產(chǎn)品情況自主開發(fā)產(chǎn)品情況產(chǎn)品名稱產(chǎn)品名稱產(chǎn)品概述產(chǎn)品概述產(chǎn)品功能和特點產(chǎn)品功能和特點產(chǎn)品獲資質(zhì)情況產(chǎn)品獲資質(zhì)情況表 52工作環(huán)境設施情況工作環(huán)境設施情況分分 類類型型 號號數(shù)數(shù)

12、量量服服 務務 器器工工 作作 站站網(wǎng)絡設備網(wǎng)絡設備網(wǎng)絡安全設備網(wǎng)絡安全設備其其 他他表 53常用安全風險評估工具常用安全風險評估工具名名 稱稱功功 能能 描描 述述版版 本本工具提供商或開發(fā)人員工具提供商或開發(fā)人員表 54服務渠道服務渠道類類 別別具體容具體容網(wǎng)網(wǎng) 址址各地辦事處、代理各地辦事處、代理服務熱線服務熱線其它渠道其它渠道六、六、申請單位的申請單位的安全風險評估服務過程能力安全風險評估服務過程能力本項包括以下六項容：本項包括以下六項容：1風險評估準備；2評估安全對系統(tǒng)的影響的能力；3評估系統(tǒng)安全威脅的能力；4評估系統(tǒng)脆弱性的能力；5評估已有安全措施的能力；6評估系統(tǒng)安全風險的能力。

13、填寫要求：填寫要求：在“詳細描述”中對所核查的能力進行文字描述說明，在“備注”中填寫對應能力的相關(guān)證據(jù)名稱，應具體到每個文檔或記錄的詳細名稱，如*系統(tǒng)風險評估報告 、 *核查表等。提供的證據(jù)資料須客觀、真實和完整，不要編輯、修改和摘錄，但可以進行脫密處理。6.16.1 風險評估的準備風險評估的準備本項要求：1 請詳細描述申請單位是如何進行風險評估的前期準備工作的，包括確定風險評估的目標、圍、方法及流程等。2 提供一份具體項目中的風險評估實施的相應文檔、記錄，如，安全風險評估工作計劃、方案等。表 61描述如何在風險評估前期如何進行準備的描述如何在風險評估前期如何進行準備的詳細描述詳細描述備備注注

14、注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。6.26.2 評估系統(tǒng)安全威脅的能力評估系統(tǒng)安全威脅的能力本項要求：1 詳細描述申請單位是如何識別系統(tǒng)所面臨的各種安全威脅及其性質(zhì)和特征的；2 詳細描述申請組織是如何對威脅的可能性進行評估的；3 提供一份具體項目中關(guān)于評估系統(tǒng)安全威脅的相應文檔、記錄，如系統(tǒng)面臨威脅識別與分析等。表 62描述如何對系統(tǒng)安全威脅進行評估描述如何對系統(tǒng)安全威脅進行評估詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。6.36.3 評估系統(tǒng)脆弱性的能力評估系統(tǒng)脆弱性的能力本項要求：1 詳細描述申請單位是如何對系統(tǒng)

15、的脆弱性進行評估的，包括所選擇的分析方法、工具，收集、分析、合成系統(tǒng)的脆弱性數(shù)據(jù)等；2 提供一份具體項目中關(guān)于系統(tǒng)脆弱性評估的相應文檔、記錄，如，人工核查表單、工具掃描報告、系統(tǒng)脆弱性列表等。表 63 描述如何評估系統(tǒng)脆弱性描述如何評估系統(tǒng)脆弱性詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。6.46.4 評估安全對系統(tǒng)的影響的能力評估安全對系統(tǒng)的影響的能力本項要求：1 詳細描述申請單位是如何識別系統(tǒng)資產(chǎn)、評估系統(tǒng)資產(chǎn)影響的；2 提供一份具體項目中關(guān)于評估系統(tǒng)資產(chǎn)影響的相應文檔、記錄，如，資產(chǎn)識別清單、重要資產(chǎn)清單、資產(chǎn)影響分析等。表 64 描述如何評

16、估安全對系統(tǒng)的影響的描述如何評估安全對系統(tǒng)的影響的詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。6.56.5 評估已有安全措施的能力評估已有安全措施的能力本項要求：1 詳細描述申請單位是如何評估系統(tǒng)當前已有的安全措施，以及已有措施的有效性的；2 提供一份具體項目中關(guān)于評估系統(tǒng)已有安全措施的相應文檔、記錄，如系統(tǒng)已有安全措施列表等。表 65 描述如何評估已有安全措施的描述如何評估已有安全措施的詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。6.66.6 評估系統(tǒng)安全風險的能力評估系統(tǒng)安全風險的能力本項要求：1

17、詳細描述申請單位是如何識別、分析和評估系統(tǒng)安全風險的，包括選擇安全風險評估方法、安全風險的分析和計算、安全風險等級排列、提出安全風險的應對措施及殘余風險的評價等；2 提供一份具體項目中關(guān)于評估系統(tǒng)安全風險的相應文檔、記錄，安全風險評估表、安全風險評估報告、風險處置計劃等。表 66 描述如何評估系統(tǒng)安全風險的描述如何評估系統(tǒng)安全風險的詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。七、七、申請單位的申請單位的項目和組織過程能力項目和組織過程能力本項應包括以下六項容：1實現(xiàn)質(zhì)量保證的能力；2管理項目風險的能力；3規(guī)劃技術(shù)活動的能力；4監(jiān)控技術(shù)活動的能力；5

18、提供不斷發(fā)展的知識和技能的能力；6與供應商協(xié)調(diào)的能力。7.17.1 實現(xiàn)質(zhì)量保證實現(xiàn)質(zhì)量保證的能力的能力本項要求：1詳細描述組織是如何實現(xiàn)質(zhì)量保證的；2提供組織實現(xiàn)質(zhì)量保證的相應文檔、記錄。表 71 描述如何實現(xiàn)質(zhì)量保證的描述如何實現(xiàn)質(zhì)量保證的詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。7.27.2 管理項目風險管理項目風險的能力的能力本項要求：1詳細描述組織是如何管理項目風險的；2提供管理項目風險的相應文檔、記錄。表 72 描述如何管理項目風險描述如何管理項目風險詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)

19、名稱。7.37.3 規(guī)劃項目技術(shù)活動規(guī)劃項目技術(shù)活動的能力的能力本項要求：1詳細描述組織是如何規(guī)劃技術(shù)活動的，包括關(guān)鍵資源的識別，項目費用估算，確定工程過程，定義項目接口，項目進度計劃等活動；2提供關(guān)于進行規(guī)劃技術(shù)活動的相應文檔、記錄。表 73 描述如何規(guī)劃項目技術(shù)活動描述如何規(guī)劃項目技術(shù)活動詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。7.47.4 監(jiān)控技術(shù)活動監(jiān)控技術(shù)活動的能力的能力本項要求：1詳細描述組織是如何進行監(jiān)控技術(shù)活動的，包括技術(shù)活動指導，項目資源的跟蹤，問題分析等；2提供關(guān)于進行監(jiān)控技術(shù)活動的相應文檔、記錄，如，項目的進度跟蹤表、項目

20、資源使用情況跟蹤、項目的溝通與協(xié)調(diào)、問題的分析與處理等。表 74 描述如何監(jiān)控技術(shù)活動描述如何監(jiān)控技術(shù)活動詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。7.57.5 提供不斷發(fā)展的知識和技能提供不斷發(fā)展的知識和技能的能力的能力本項要求：1詳細描述組織是如何提供不斷發(fā)展的知識和技能的；2提供關(guān)于提供不斷發(fā)展的知識和技能的相應文檔、記錄。表 75 描述如何提供不斷發(fā)展的知識和技能描述如何提供不斷發(fā)展的知識和技能詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。7.67.6 與供應商協(xié)調(diào)與供應商協(xié)調(diào)的能力的能力本項要

21、求：1詳細描述組織是如何與供應商協(xié)調(diào)的；2提供關(guān)于如何與供應商協(xié)調(diào)的相應文檔、記錄。表 76 描述如何與供應商協(xié)調(diào)的描述如何與供應商協(xié)調(diào)的詳細描述詳細描述備備注注注：請在“詳細描述”中進行文字描述說明，在“備注”中注明證據(jù)名稱。八、八、申請單位信息安全風險評估服務項目匯總申請單位信息安全風險評估服務項目匯總本項要求：1按照表 81 格式詳細填寫，并加蓋單位公章加蓋單位公章；2填寫最近兩個年度承接的包含“安全風險評估服務”容的項目（以合同簽訂時間為準） ；3項目名稱請嚴格按照合同填寫（要包括簽訂單位、服務容等完整的信息） ；4項目請務必按應用領域或行業(yè)順序填寫；5完成項目在“進展情況”中注明，并

22、將合計填入“完成的項目總金額” ；6提供所有已驗收項目的驗收報告；7注意填寫數(shù)據(jù)以“萬元”為單位；8提供項目承接合同的復印件。申請單位近兩年安全風險評估服務項目匯總表申請單位近兩年安全風險評估服務項目匯總表表 81 單位：萬元單位：萬元序號序號項目名稱項目名稱（包含簽定單位信息）（包含簽定單位信息）項目所屬項目所屬行業(yè)行業(yè)合同金額合同金額風險評估風險評估服務費用服務費用其他費用其他費用風險評估服風險評估服務費用比例務費用比例項目容項目容項目進展情況項目進展情況驗收驗收情況情況備注備注1 12 23 34 45 56 67 78 89 9101011111212合合計計其中完成的項目總金額其中完成的項目總金額 注：如果項目是合作完成的，請在“備注”欄中說明合作單位，并詳細描述自身所需完成的工作任務和項目費用。九、九、申請單位獲獎、資格授權(quán)情況申請單位獲獎、資格授權(quán)情況表 91序號序號項目名稱項目名稱獲獎等級獲獎等級獲獎時間獲獎時間項目帶頭人項目帶頭人授獎單位授獎單位1 12 2獲獲獎獎情情況況3 3序號序號授權(quán)資格名稱授權(quán)資格名稱授權(quán)圍授權(quán)圍授權(quán)時間授