信息安全服务资质申请书(安全工程类一级)
信息安全服务资质申请等保
运行维护
安全设备代维巡检; 安全运行与管理; 安全扫描服务; 安全应急响应服务;
安全培训
定制化培训:安全意识培训、安全技术培训、安全产品培训; 标准化培训:安全标准管理培训;
信息安全咨询服务
服务成果输出
《信息系统安全规划咨询报告》 《信息系统安全设计咨询报告》 《XX系统安全等级保护定级报告》 《信息安全等级整改建议方案》 《XX系统安全等级测评报告》
信息安全咨询服务
项目实施咨询服务主要是指:对用户项目建设实 施过程中的安全功能如何验证、安全措施的实现程度、 以及项目实施完成后如何对项目的质量进行控制等提 供咨询,主要内容包括:
1、对安全措施的有效性为用户提供咨询 2、对系统安全功能验收测试,确认安全措施抵御 安全风险的能力进行咨询 3、对如何确定系统的安全控制能力与设计目标之 间的符合程度提供咨询
目录
信息安全服务体系Biblioteka xx在多年协助客户实施信息安全咨询、评估、规划、加固、运维、管理的过 程中积累了大量经验,并已总结成为一整套科学规范的信息系统安全管理的实践 方法。安徽荣誉信息安全服务是一套针对企业信息安全咨询、评估、规划、建设、 运作、管理的完善解决方案。
安全咨询服务
提供新建网络设计、安全防护设计的安全建设设计咨询服务 提供辅助定级、等级改造建设、辅助通过测评的等级保护咨询服务
的U盘作为传输介质。
验证环境:
公司环境
XX拥有良好的办公环境,同时也有规范化的管理。 目前公司拥有530㎡的办公环境,信息安全小组的办公区域与其他部门的办公区域隔 离,同时信息小组安全办公区域使用IC卡及指纹双认证。 • 信息安全小组办公网与互联网隔离,小组内办公电脑使用有线方式连入信息安全小组 专用网络,与公司其它部门物理隔离,并强制使用密码安全策略。 • 与全体在职员工签订了保密协议,保密协议在离职后仍需签订。 • 办公时手机禁止连接无安全保障的无线信号,同时连内部无线时需多重安全策略保护。 • 规定公司日常的文件拷贝传输,必须使用安全机密U盘,资料禁止带出公司。 • 公司统一配置办公电脑,并规定人员离开电脑必须锁定黑屏,同时配置专门的外出使 用电脑。 • 在公司禁止使用私人电脑及个人移动外设。 • 公司验证环境:DELL R720 2台、华为5700、华为3700各2台、东软防火墙F4120、 Juniper NetScreen SSG140-SH、绿盟ICEYE-201 IDS各1台、榕基扫描软件、SARA、 Acunetix网站漏洞扫描器等。 • 公司现有机房符合标准化机房c类标准。
信息安全系统服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (9)五、申请单位技术能力基本情况 (14)六、申请单位的安全风险评估服务过程能力 (17)6.1 风险评估的准备 (18)6.2 评估系统安全威胁的能力 (20)6.3 评估系统脆弱性的能力 (22)6.4 评估安全对系统的影响的能力 (24)6.5 评估已有安全措施的能力 (26)6.6 评估系统安全风险的能力 (28)七、申请单位的项目和组织过程能力 (30)7.1 实现质量保证的能力 (31)7.2 管理项目风险的能力 (33)7.3 规划项目技术活动的能力 (35)7.4 监控技术活动的能力 (37)7.5 提供不断发展的知识和技能的能力 (39)7.6 与供应商协调的能力 (41)八、申请单位安全服务项目汇总 (43)九、申请单位获奖、资格授权情况 (45)十、申请单位在安全服务方面的发展规划 (46)十一、申请单位其他说明情况 (47)十二、申请单位附加信息 (48)申请单位声明 (49)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
信息安全服务资质申请书安全开发类一级
信息安全服务资质申请书安全开发类一级尊敬的部门领导:您好!我代表我所在的公司,特向贵部门申请信息安全服务资质,希望能够获得安全开发类一级资质,以便更好地为客户提供可靠的信息安全服务。
一、公司概况我公司成立于XXXX年,注册资本XXX万元,专注于信息安全服务。
多年来,我们致力于研究与开发符合行业标准、高效可靠的信息安全技术,为众多客户提供全面的信息安全解决方案。
目前,公司在信息安全领域积累了丰富的经验,拥有一支专业技术团队和高素质员工队伍。
二、业绩展示我公司在过去的XXXX年里,在信息安全服务领域取得了一系列令人瞩目的成绩。
以下是我们的一些代表性项目:1. 项目一:XXX公司合作时间:XXXX年至今项目描述:为XXX公司提供全面的信息安全服务,包括安全开发、漏洞扫描、安全评估等。
通过我们的服务,有效地保护了XXX公司的数据安全和业务稳定。
2. 项目二:XXX银行合作时间:XXXX年至今项目描述:为XXX银行提供安全开发类的信息安全服务,包括安全运维、应急响应、安全培训等。
凭借我们的专业技术和贴心服务,公司与XXX银行建立了长期稳定的合作关系。
除此之外,我们还与多家知名企事业单位合作,积累了丰富的行业经验,得到了广泛的好评。
三、技术实力和专业能力为了能够为客户提供高质量的信息安全服务,我公司一直重视技术实力和专业能力的培养。
我们拥有一支经验丰富的技术团队,他们精通各类信息安全技术,能够应对复杂的安全威胁和攻击。
同时,我们还与多家行业内的研究机构和高校合作,保持与前沿技术的接轨,并不断创新和完善我们的产品和服务。
四、安全管理体系为了确保信息安全服务的高质量和可靠性,我公司建立了完善的安全管理体系,旨在规范公司内部的信息安全工作。
我们严格遵循相关安全标准和法规,注重风险管理和合规性,致力于为客户提供安全可靠的服务。
五、进一步的努力我公司将继续加强自身的技术实力和专业能力,不断进行技术创新和产品升级,为客户提供更加先进、高效的信息安全服务。
信息安全服务申请书
国家信息安全测评信息安全服务一、申请单位的信息安全工程过程能力本项应包括以下十一项内容:1.评估系统安全威胁的能力;2.评估系统脆弱性的能力;3.评估安全对系统的影响的能力;4.评估系统安全风险的能力;5.确定系统的安全需求的能力;6.确定系统的安全输入的能力;7.进行管理安全控制的能力;8.进行监测系统安全状况的能力;9.进行安全协调的能力;10.进行检测和证实系统安全性的能力;11.进行建立系统安全的保证证据的能力。
6.1 评估系统安全威胁的能力本项要求:1.详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征;2.详细描述申请组织是如何对威胁的可能性进行评估的;3.提供一份具体项目中关于评估系统安全威胁的相应文档、记录。
表6-1注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.2 评估系统脆弱性的能力本项要求:1.详细描述申请单位是如何对系统的脆弱性进行评估的,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据等;2.提供一份具体项目中关于系统脆弱性评估的相应文档、记录,包括系统脆弱性清单、攻击测试报告等。
表6-2注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.3 评估安全对系统的影响的能力本项要求:1.详细描述申请单位是如何识别系统资产和评估系统资产影响的;2.提供一份具体项目中关于评估系统资产影响的相应文档、记录,如系统优先级清单、系统资产影响分析表等。
表6-3注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.4 评估系统安全风险的能力本项要求:1.详细描述申请单位是如何识别、分析和评估系统安全风险的,包括选择安全风险评估方法、安全风险的计算、安全风险等级排列、提出安全风险的应对措施等;2.提供一份具体项目中关于评估系统安全风险的相应文档、记录。
表6-4注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (4)申请表 (5)一、申请单位基本情况 (6)二、申请单位概况 (7)三、申请单位近三年资产运营情况 (8)四、申请单位人员情况 (11)五、申请单位技术能力基本情况 (20)六、申请单位的安全风险评估服务过程能力 (24)6.1风险评估的准备 (25)6.2评估系统安全威胁的能力 (27)6.3评估系统脆弱性的能力 (29)6.4评估安全对系统的影响的能力 (31)6.5评估已有安全措施的能力 (33)6.6评估系统安全风险的能力 (35)七、申请单位的项目和组织过程能力 (37)7.1实现质量保证的能力 (38)7.2管理项目风险的能力 (40)7.3规划项目技术活动的能力 (43)7.4监控技术活动的能力 (46)7.5提供不断发展的知识和技能的能力 (49)7.6与供应商协调的能力 (52)八、申请单位安全服务项目汇总 (55)九、申请单位获奖、资格授权情况 (58)十、申请单位在安全服务方面的发展规划 (59)十一、申请单位其他说明情况 (60)十二、申请单位附加信息 (61)申请单位声明 (62)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力
8、监测系统安全状况的能力(描述如何对安全风险变化、事件记录、安全防护措施进行监视,并识别安全突发事件和对安全突发事件进行响应;提供一份具体项目中关于进行监测系统安全状况的相应文档记录)
分析各种事件记录,以确定一个事件的原因及其发展,以及将来可能发生的事件,对每一个事件进行描述,并建立起日志记录和来源,对最近的日志加以分析并进行一定的归纳。特别要动态的监控威胁、脆弱性、影响、风险和环境变化,并在报告中体现,在报告中对变化的意义进行定期评估。能识别出安全突发事件,定义突发事件并列出突发事件,制定突发事件响应指南,描述出现的突发事件及其相关详细情况,包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动,同时报告各种入侵事件,指明入侵事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。检测安全防护措施的执行情况,以便识别出安全措施执行中的变化。审核系统安全态势以识别必要的修改,描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行分析,并通过第三方权威组织认证,通过报告的形式指明在运行的系统中,安全风险是可接受的。由于许多事件不能预防,因而对破坏的响应能力是十分重要的.为了保证监控活动的可信性,应封存和归档相关的日志、审计报告和相关分析结果。
具体文档见附件4之十
具体文档见附件4之二。
4、评估系统安全风险的能力(描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险;如何对系统的安全风险进行评估,包括选择风险评估方法、风险优先级排列方法等;提供一份具体项目中关于评估系统安全风险的相应文档记录)
安全风险评估应在某一准则限度内进行,有机的建立在脆弱性信息、威胁信息和影响信息的基础上,注意脆弱性、威胁和影响的相互依存,其目标是寻找认为是足够危险的威胁、脆弱性和影响的组合,从而证明相应行动的合理性.根据具体系统环境,选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则,它应该包括一个对风险进行分类和分级的方案,其依据是威胁、运行效能、已建立系统的脆弱性、潜在损失、安全需求等相关问题。因此应描述对风险进行识别和特征化的方法,描述风险及其重要性和相关性。已经被识别的风险应以组织的优先级、风险出现的可能性、与这些因素和可用财力相关的不确定性为依据进行排序。因此需要列出风险优先级清单和可帮助减轻风险的清单,并对优先级排列的描述。
国家信息安全测评信息安全服务资质申请书
国家信息安全测评信息安全服务资质申请书
尊敬的部门:
我单位拟向贵部门申请国家信息安全测评信息安全服务资质,现将相关申请材料递交如下:
一、申请单位基本信息:
单位名称:
统一社会信用代码:
注册地址:
法定代表人/负责人姓名及职务:
二、申请单位基本情况:
1.单位性质:
2.单位属性:
3.单位规模:
4.是否具备相应的人员和技术设备:
5.近三年内是否存在过信息安全事件:
-若存在,请提供处理情况和应对措施;
6.是否具备信息安全应急处理能力:
-若具备,请提供相应的应急处理能力介绍材料。
三、申请资质级别:
请根据贵部门相关规定,选择适应的资质级别进行申请。
四、信息安全测评服务:
1.请提供单位在信息安全测评领域的相关经验和业绩:
-包括承接过的测评项目、合作单位、标的企业等;
2.请提供单位的信息安全测评人员情况:
-包括人员资质、从业年限、技术能力等;
3.请提供单位的信息安全测评设备和工具情况:
-包括设备设施完备性、工具使用证书等;
4.请提供单位信息安全测评服务的流程和方法:
-包括测评流程、测评方法、报告编写等。
五、其他附件:
请在此列出所有随申请书递交的其他附件,如资质证书、公司章程等。
国家信息安全测评信息安全服务资质申请书(安全工程类一级中国信息安全测评中心【模板】
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
国家信息安全测评信息安全服务资质申请书(安全工程类一级)
国家信息安全测评信息安全服务资质申请书(安全⼯程类⼀级)编号:国家信息安全测评信息安全服务资质申请书(安全⼯程类⼀级)申请单位(公章):填表⽇期:版权2xx1—中国信息安全测评中⼼2xx1年1⽉1⽇⽬录填表须知.............................................................................................. 错误!未定义书签。
申请表.......................................................................................... 错误!未定义书签。
⼀、申请单位基本情况................................................................... 错误!未定义书签。
⼆、申请单位概况........................................................................... 错误!未定义书签。
三、申请单位近三年资产运营情况............................................... 错误!未定义书签。
四、申请单位⼈员情况................................................................... 错误!未定义书签。
五、申请单位技术能⼒基本情况................................................... 错误!未定义书签。
六、申请单位的信息系统安全⼯程过程能⼒............................... 错误!未定义书签。
6.1 评估系统安全威胁的能⼒.................................................... 错误!未定义书签。
信息安全服务资质申请书指南(信息系统审计类一级)
国家信息安全服务资质灾难恢复服务资质(一级)申请书(试行)申请单位(公章):填表日期:©版权2008—中国信息安全测评中心2008年5月1日目录填表须知 (1)申请表 (2)第1 章申请单位基本情况 (3)第2 章申请单位组织结构 (4)第3 章申请单位近三年资产运营情况 (5)第4 章申请单位人员情况 (7)第5 章申请单位技术能力基本情况 (12)第6 章申请单位的灾难恢复服务过程能力 (15)6.1 确定灾难恢复需求的能力 (16)6.2 评估灾难恢复策略制定过程的能力 (18)6.3评估灾难恢复资源获取方式的能力 (20)6.4 确定灾难恢复资源要求的能力 (22)6.5 进行灾难备份系统技术方案实现的能力 (24)6.6确定灾难备份中心选择和建设的能力 (26)6.7 进行技术支持实现的能力 (28)6.8进行运行维护管理的能力 (30)6.9 评估灾难恢复预案制定的能力 (32)6.10进行灾难预案的教育、培训和演练的能力 (34)6.11进行灾难恢复预案管理的能力 (36)第7 章申请单位的项目和组织过程能力 (38)7.1 如何实现质量保证 (39)7.2 如何对整个系统进行管理配置 (41)7.3 如何管理项目风险 (43)7.4 如何监控技术活动 (45)7.5 如何规划技术活动 (47)7.6如何管理系统工程支撑环境 (49)7.7 如何提供不断发展的知识和技能 (51)7.8 如何与供应商协调 (53)第8 章申请单位灾难恢复服务项目汇总 (55)第9 章申请单位获奖、资格授权情况 (57)第10 章申请单位在灾难恢复服务方面的发展规划 (58)第11 章申请单位其他说明情况 (59)申请单位声明 (60)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1. 中国信息安全测评中心对下列对象进行测评:⏹信息技术产品⏹信息系统⏹提供信息安全服务的组织和单位⏹信息安全专业人员2. 申请单位应仔细阅读《信息安全灾难恢复服务资质申请指南》,并按照其要求如实、详细地填写本申请书所有项目。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (4)申请表 (5)一、申请单位基本情况 (6)二、申请单位概况 (7)三、申请单位近三年资产运营情况 (8)四、申请单位人员情况 (11)五、申请单位技术能力基本情况 (20)六、申请单位的安全风险评估服务过程能力 (24)6.1风险评估的准备 (25)6.2评估系统安全威胁的能力 (27)6.3评估系统脆弱性的能力 (29)6.4评估安全对系统的影响的能力 (31)6.5评估已有安全措施的能力 (33)6.6评估系统安全风险的能力 (35)七、申请单位的项目和组织过程能力 (37)7.1实现质量保证的能力 (38)7.2管理项目风险的能力 (40)7.3规划项目技术活动的能力 (43)7.4监控技术活动的能力 (46)7.5提供不断发展的知识和技能的能力 (49)7.6与供应商协调的能力 (52)八、申请单位安全服务项目汇总 (55)九、申请单位获奖、资格授权情况 (58)十、申请单位在安全服务方面的发展规划 (59)十一、申请单位其他说明情况 (60)十二、申请单位附加信息 (61)申请单位声明 (62)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
信息安全测评中心(CNITSEC)信息安全服务资质申请书.doc
编号:国家信息安全测评信息安全服务资质申请书(安全开发类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 3申请表4一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (9)五、申请单位技术能力基本情况 (15)六、申请单位安全开发过程能力 (18)6.1 安全意识和安全教育 (19)6.2 启动安全开发过程 (21)6.3 产品风险评估和分析 (23)6.4 定义安全设计原则 (25)6.5 提供安全文档和安全配置工具 (27)6.6 进行安全编码 (29)6.7 进行安全测试 (31)6.8 安全最终评审与产品发布 (33)6.9 安全响应服务 (35)七、申请单位的项目和组织过程能力 (37)7.1 实现质量保证的能力 (38)7.2 实现配置管理的能力 (40)7.3 管理项目风险的能力 (42)7.4 规划项目技术活动的能力 (44)7.5 监控技术活动的能力 (46)7.6 提供不断发展的知识和技能的能力 (48)7.7 与供应商协调的能力 (50)八、申请单位安全服务项目汇总 (52)九、申请单位获奖、资格授权情况 (54)十、申请单位在安全开发服务方面的发展规划 (55)十一、申请单位其他说明情况 (56)十二、申请单位附加信息 (57)申请单位声明 58填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (4)申请表 (5)一、申请单位基本情况 (6)二、申请单位概况 (7)三、申请单位近三年资产运营情况 (8)四、申请单位人员情况 (11)五、申请单位技术能力基本情况 (20)六、申请单位的安全风险评估服务过程能力 (24)6.1风险评估的准备 (25)6.2评估系统安全威胁的能力 (27)6.3评估系统脆弱性的能力 (29)6.4评估安全对系统的影响的能力 (31)6.5评估已有安全措施的能力 (33)6.6评估系统安全风险的能力 (35)七、申请单位的项目和组织过程能力 (37)7.1实现质量保证的能力 (38)7.2管理项目风险的能力 (40)7.3规划项目技术活动的能力 (43)7.4监控技术活动的能力 (46)7.5提供不断发展的知识和技能的能力 (49)7.6与供应商协调的能力 (52)八、申请单位安全服务项目汇总 (55)九、申请单位获奖、资格授权情况 (58)十、申请单位在安全服务方面的发展规划 (59)十一、申请单位其他说明情况 (60)十二、申请单位附加信息 (61)申请单位声明 (62)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
信息安全服务资质申请演示文稿
XXXXXX信息技术有限公司
2021/3/24
1
会议提要
为何要申请信息安全服务资质认证? 信息安全服务资质申请资料准备 信息安全服务资质申请工作计划 需要各部门协助事项
授课:XXX
2021/3/24
2
一、为何要申请信息安全服务资质认证?
1、是什么信息安全服务资质
授课:XXX
8
三、信息安全服务资质申请资料准备
3、公司人员情况
单位负责人情况表 单位技术负责人情况表 单位安全服务负责人情况表 以上人员的任职、学历、职称、业绩证明材料复印件 公司安全服务专业技术人员名单 提供已有CISP资格人员的CISP证书复印件。
授课:XXX
2021/3/24
9
三、信息安全服务资质申请资料准备
4、公司技术能力基本情况
单位自主开发产品情况表 单位工作坏境设施情况表 单位常用的安全服务工具情况表 单位安全服务网站
授课:XXX
2021/3/24
10
三、信息安全服务资质申请资料准备
5、公司信息安全工程过程能力情况☆
单位评估系统安全威胁的能力
单位评估系统脆弱性的能力
单位评估安全对系统影响的能力
单位评估系统安全风险的能力
资格审查阶段
证书发放阶段
授课:XXX
静态评估 能 力 现场审核 测 评 阶 综合评定 段
资质审定
2021/3/24
20
二、信息安全服务资质申请工作计划
3、工作日程安排
时间段 申请阶段
资格审查阶段
第一季度
4-5月份 6-7月份
访问CNITSEC网站( )查看并下载《信息安全 服务资质评估准则》、《信息安全服务资质申请指南(安全工程类一级)》 和《信息安全服务资质申请书(安全工程类一级)》及有关附件,阅读 了解资质认定的流程及相关情况。
国家信息安全测评信息安全服务资质申请指南(安全工程类 一级)
国家信息安全测评信息安全服务资质申请指南(安全工程类一级)©版权2008—中国信息安全测评中心2008年8月1日一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 安全工程过程能力要求 (7)3.4 项目和组织过程能力要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4能力测评阶段 (9)4.4.1静态评估 (9)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (10)4.5证书发放阶段 (10)五、监督、维持和升级 (11)六、处置 (11)七、争议、投诉与申诉 (11)八、获证组织档案 (12)九、费用及周期 (12)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:1.为信息技术安全性提供测评服务;2.信息安全漏洞分析;3.信息安全风险评估;4.信息技术产品、信息系统和工程安全测试与评估;5.信息安全服务和信息安全人员资质测评;6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
安全工程一级申请书最终
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日申请单位的信息安全工程过程能力本项应包括以下十一项内容:1.评估系统安全威胁的能力;2.评估系统脆弱性的能力;3.评估安全对系统的影响的能力;4.评估系统安全风险的能力;5.确定系统的安全需求的能力;6.确定系统的安全输入的能力;7.进行管理安全控制的能力;8.进行监测系统安全状况的能力;9.进行安全协调的能力;10.进行检测和证实系统安全性的能力;11.进行建立系统安全的保证证据的能力。
6.1 评估系统安全威胁的能力本项要求:1.详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征;2.详细描述申请组织是如何对威胁的可能性进行评估的;3.提供一份具体项目中关于评估系统安全威胁的相应文档、记录。
表6-1注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称6.2 评估系统脆弱性的能力本项要求:1.详细描述申请单位是如何对系统的脆弱性进行评估的,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据等;2.提供一份具体项目中关于系统脆弱性评估的相应文档、记录,包括系统脆弱性清单、攻击测试报告等。
表6-2注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.3 评估安全对系统的影响的能力本项要求:1.详细描述申请单位是如何识别系统资产和评估系统资产影响的;2.提供一份具体项目中关于评估系统资产影响的相应文档、记录,如系统优先级清单、系统资产影响分析表等。
表6-3注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.4 评估系统安全风险的能力本项要求:1.详细描述申请单位是如何识别、分析和评估系统安全风险的,包括选择安全风险评估方法、安全风险的计算、安全风险等级排列、提出安全风险的应对措施等;2.提供一份具体项目中关于评估系统安全风险的相应文档、记录。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (9)五、申请单位技术能力基本情况 (14)六、申请单位的安全风险评估服务过程能力 (17)6.1风险评估的准备 (18)6.2评估系统安全威胁的能力 (20)6.3评估系统脆弱性的能力 (22)6.4评估安全对系统的影响的能力 (24)6.5评估已有安全措施的能力 (26)6.6评估系统安全风险的能力 (28)七、申请单位的项目和组织过程能力 (30)7.1实现质量保证的能力 (31)7.2管理项目风险的能力 (33)7.3规划项目技术活动的能力 (35)7.4监控技术活动的能力 (37)7.5提供不断发展的知识和技能的能力 (39)7.6与供应商协调的能力 (41)八、申请单位安全服务项目汇总 (43)九、申请单位获奖、资格授权情况 (45)十、申请单位在安全服务方面的发展规划 (46)十一、申请单位其他说明情况 (47)十二、申请单位附加信息 (48)申请单位声明 (49)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
信息安全服务资质申请书(安全工程类一级)实例
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:年月日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (6)四、申请单位人员情况 (8)五、申请单位技术能力基本情况 (13)六、申请单位的信息系统安全工程过程能力 (16)6.1评估系统安全威胁的能力 (17)6.2评估系统脆弱性的能力 (20)6.3评估安全对系统的影响的能力 (23)6.4评估系统安全风险的能力 (26)6.5确定系统的安全需求的能力 (29)6.6确定系统的安全输入的能力 (31)6.7进行管理安全控制的能力 (34)6.8进行监测系统安全状况的能力 (36)6.9进行安全性协调的能力 (39)6.10进行检测和证实系统安全性的能力 (41)6.11进行建立系统安全的保证证据的能力 (44)七、申请单位的项目和组织过程能力 (47)7.1实现质量保证的能力 (48)7.2管理项目风险的能力 (53)7.3规划项目技术活动的能力 (55)7.4监控技术活动的能力 (57)7.5提供不断发展的知识和技能的能力 (59)7.6与供应商协调的能力 (61)八、申请单位安全服务项目汇总 (63)九、申请单位获奖、资格授权情况 (65)十、申请单位在安全服务方面的发展规划 (66)十一、申请单位其他说明情况 (67)十二、申请单位附加信息 (69)申请单位声明 (76)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (9)五、申请单位技术能力基本情况 (14)六、申请单位的信息系统安全工程过程能力 (17)6.1 评估系统安全威胁的能力 (18)6.2 评估系统脆弱性的能力 (20)6.3 评估安全对系统的影响的能力 (22)6.4 评估系统安全风险的能力 (24)6.5 确定系统的安全需求的能力 (26)6.6 确定系统的安全输入的能力 (28)6.7 进行管理安全控制的能力 (30)6.8 进行监测系统安全状况的能力 (32)6.9 进行安全性协调的能力 (34)6.10 进行检测和证实系统安全性的能力 (36)6.11 进行建立系统安全的保证证据的能力 (38)七、申请单位的项目和组织过程能力 (40)7.1 实现质量保证的能力 (41)7.2 管理项目风险的能力 (43)7.3 规划项目技术活动的能力 (45)7.4 监控技术活动的能力 (47)7.5 提供不断发展的知识和技能的能力 (49)7.6 与供应商协调的能力 (51)八、申请单位安全服务项目汇总 (53)九、申请单位获奖、资格授权情况 (55)十、申请单位在安全服务方面的发展规划 (56)十一、申请单位其他说明情况 (57)十二、申请单位附加信息 (58)申请单位声明 (59)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
6.本申请书要求提供的附件及证明材料须单独装订成册并编目。
提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
7.如有疑问,请与中国信息安全测评中心联系。
中国信息安全测评中心地址:北京市海淀区上地西路8号院1号楼邮编:100085电话:(010)82341188或82341118传真:82341100网址:电子邮箱:*****************.cn申请表中国信息安全测评中心:我单位正式提出信息安全服务资质申请,并保证将按照信息安全服务资质的要求,提供所需的所有真实信息,并配合资质审核活动。
1.申请服务类型□A类(不具有外资背景)□B类(具有外资背景)2.申请服务内容□安全工程(安全风险评估、安全需求分析、安全方案设计、安全集成、安全监控和维护、安全咨询等)3.申请类型□初次申请□再次申请,第次申请□级别变更(原资质级别:□一级□二级□三级□四级□五级)注意:除第二项外其余各项均为单选。
申请单位(盖章):申请日期:年月日一、申请单位基本情况申请单位全称(中文):重庆观度科技有限公司申请单位全称(英文):注册地址:重庆市九龙坡区石杨路15号9-9 办公地址:重庆市九龙坡区石杨路15号9-9 邮政编码 400039法定代表人姓名:谢娟职务:联系人姓名:职务:电子邮箱:*****************.cn 联系方式:电话( 023 ) 68793654 传真( 023 ) 68793645手机()工商登记注册号(附申请单位法人营业执照副本或上级主管部门批准成立文件复印件): 500901000147447法人机构代码(附法人机构代码证副本复印件): 57797891-9 已获的国家信息安全服务资质证书号码(附资质证书复印件):无其他重要的法律文件:二、申请单位概况1.单位基本情况:重庆观度科技有限公司成立于2011年,公司现有员工12人,(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等);2.申请单位组织结构图;3.申请单位部门职能文字描述(包括与安全服务有关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等)。
三、申请单位近三年资产运营情况本项应包括以下内容:1.申请单位近三年资产运营情况(加盖公章)(表3-1);2.近三年审计报告与信用等级证明材料(若无审计报告请提供加盖公章的资产负债表和损益表);3.安全服务费用包括:涉及安全内容的系统设计费、软件开发费、系统集成费、服务费和培训费等;4.财务亏损或其它异常状况发生请提供证明材料。
申请单位近三年资产运营情况表word文档可编辑四、申请单位人员情况本项应包括以下内容:1.申请单位负责人情况(表4-1);2.申请单位技术负责人情况(表4-2);3.申请单位安全服务负责人情况(表4-3);4.以上人员的任职、学历、职称、业绩证明材料复印件;5.安全服务专业技术人员名单(表4-4);6.提供已有CISP资格人员的CISP证书复印件。
申请单位负责人情况表申请单位技术负责人情况申请单位安全服务负责人情况安全服务专业技术人员基本情况word文档可编辑五、申请单位技术能力基本情况本项包括以下四项内容:1.自主开发产品情况(表5-1);2.工作环境设施情况(表5-2);3.常用安全服务工具情况(表5-3);4.安全服务网站情况(表5-4)。
申请单位技术能力基本情况表word文档可编辑word文档可编辑六、申请单位的信息安全工程过程能力本项应包括以下十一项内容:1.评估系统安全威胁的能力;2.评估系统脆弱性的能力;3.评估安全对系统的影响的能力;4.评估系统安全风险的能力;5.确定系统的安全需求的能力;6.确定系统的安全输入的能力;7.进行管理安全控制的能力;8.进行监测系统安全状况的能力;9.进行安全协调的能力;10.进行检测和证实系统安全性的能力;11.进行建立系统安全的保证证据的能力。
6.1 评估系统安全威胁的能力本项要求:1.详细描述申请单位是如何识别系统所面临的各种安全威胁及其性质和特征;2.详细描述申请组织是如何对威胁的可能性进行评估的;3.提供一份具体项目中关于评估系统安全威胁的相应文档、记录。
表6-1注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.2 评估系统脆弱性的能力本项要求:1.详细描述申请单位是如何对系统的脆弱性进行评估的,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据等;2.提供一份具体项目中关于系统脆弱性评估的相应文档、记录,包括系统脆弱性清单、攻击测试报告等。
表6-2注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.3 评估安全对系统的影响的能力本项要求:1.详细描述申请单位是如何识别系统资产和评估系统资产影响的;2.提供一份具体项目中关于评估系统资产影响的相应文档、记录,如系统优先级清单、系统资产影响分析表等。
表6-3注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.4 评估系统安全风险的能力本项要求:1.详细描述申请单位是如何识别、分析和评估系统安全风险的,包括选择安全风险评估方法、安全风险的计算、安全风险等级排列、提出安全风险的应对措施等;2.提供一份具体项目中关于评估系统安全风险的相应文档、记录。
表6-46.5 确定系统的安全需求的能力本项要求:1.详细描述申请单位是如何进行系统安全需求分析并提出系统安全要求的;2.提供一份具体项目中关于确定系统的安全需求的相应文档、记录,如安全需求调查表、安全策略定义,安全目标定义,安全需求分析报告等。
表6-5注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.6 确定系统的安全输入的能力本项要求:1.详细描述申请单位是如何为系统的规划者、设计者、实施者或用户提供他们所需的安全输入的,包括对系统安全体系进行设计、编制安全工程实施指南、系统安全运行操作指南和有关安全管理制度等文档、进行安全培训等;2.提供一份具体项目中关于确定系统的安全输入的相应文档、记录,如系统安全体系设计方案,各种安全相关的指南等。
表6-6注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.7 进行管理安全控制的能力本项要求:1.详细描述申请单位是如何对系统的安全控制进行管理的,包括控制系统在运行状态最终实现所设计的安全程度,建立安全职责,对所有用户和管理员实施安全意识教育和培训,制定和维护教育大纲,对系统进行合理配置等;2.提供一份具体项目中关于进行管理安全控制的相应文档、记录。
表6-7注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.8 进行监测系统安全状况的能力本项要求:1.详细描述申请单位是如何监测系统的安全状态并处理安全突发事件的;2.提供一份具体项目中关于进行监测系统安全状况的相应文档、记录。
表6-8注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.9 进行安全性协调的能力本项要求:1.详细描述申请单位是如何进行系统安全协调的,包括建立的协调机制,系统安全协调的技术方法、具体措施等;2.提供一份具体项目中关于进行安全性协调的相应文档、记录。
表6-9注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.10 进行检测和证实系统安全性的能力本项要求:1.详细描述申请单位是如何检测和证实系统安全有效性的;2.提供一份具体项目中关于检测和证实系统安全性的相应文档、记录,如测试方案,检测记录单,检测报告等。
表6-10注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
6.11 进行建立系统安全的保证证据的能力本项要求:1.详细描述组织是如何建立系统安全的保证证据的,包括对保证的目标进行识别、建立保证证据库并对其进行分析等;2.提供一份具体项目中关于进行建立系统安全的保证证据的相应文档、记录。
表6-11注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。
七、申请单位的项目和组织过程能力本项应包括以下八项内容:1.实现质量保证的能力;2.管理项目风险的能力;3.规划技术活动的能力;4.监控技术活动的能力;5.提供不断发展的知识和技能的能力;6.与供应商协调的能力。
7.1 实现质量保证的能力本项要求:1.详细描述组织是如何实现质量保证的;2.提供组织实现质量保证的相应文档、记录。