国家信息安全测评信息安全服务资质申请指南(安全工程类 一级)
信息安全服务资质一级条件
信息安全服务资质一级条件1. 想拿到信息安全服务资质一级啊,那你的公司得有超牛的技术实力呢!就好比武林高手得有绝世武功一样。
我有个朋友的公司,想申请这个资质,他们公司的技术团队那可是能解决各种复杂的网络安全问题,就像魔法师能化解各种魔法危机。
没有这样厉害的技术,想都别想一级资质。
2. 人员素质也是个关键因素呀!要是员工都是些马马虎虎的人,怎么行呢?这资质一级要求的人员就像超级特工,得对信息安全领域的知识精通得不得了。
我认识一个做信息安全的大哥,他说他们公司为了达到这个标准,整天组织员工学习,那些员工就像饥饿的人扑在面包上一样,拼命吸收知识,不然怎么能达到一级的要求呢?3. 安全管理体系得完善,这可不是闹着玩的。
这就像一个国家得有健全的法律制度一样。
我曾经看过一家企业,安全管理乱得像一团麻,这样的企业怎么可能拿到信息安全服务资质一级呢?人家一级资质要求的企业,安全管理体系得像精密的钟表一样,每个环节都紧紧相扣,有条不紊。
4. 应急响应能力得超强!这就好比消防队得在火灾发生的第一时间赶到现场。
我听说有个公司在一次模拟安全事件中,反应慢得像蜗牛,这样可不行。
信息安全服务资质一级要求的企业,一旦有安全事件,得像猎豹一样迅速做出反应,把损失降到最低。
5. 项目管理水平不能低呀。
你想想,如果一个建筑队盖房子,今天这儿出问题,明天那儿出问题,这房子能盖好吗?肯定不能。
我一个合作伙伴的公司,他们为了达到资质一级,在项目管理上就像绣花一样精细,每个细节都不放过,这才有可能达到要求。
6. 企业的财务状况也很重要呢。
要是企业穷得叮当响,怎么能保证在信息安全服务上持续投入呢?这就像一个人连饭都吃不饱,还怎么去健身锻炼呀?我知道有个小公司,资金紧张得很,想申请这个一级资质简直是天方夜谭,而那些有实力的企业,财务就像一个坚固的后盾,支撑着他们在信息安全服务上不断前进。
7. 风险评估能力必须得有。
这就像航海家在出海前得知道哪里有暗礁一样。
信息安全服务资质申请书安全开发类一级
信息安全服务资质申请书安全开发类一级尊敬的部门领导:您好!我代表我所在的公司,特向贵部门申请信息安全服务资质,希望能够获得安全开发类一级资质,以便更好地为客户提供可靠的信息安全服务。
一、公司概况我公司成立于XXXX年,注册资本XXX万元,专注于信息安全服务。
多年来,我们致力于研究与开发符合行业标准、高效可靠的信息安全技术,为众多客户提供全面的信息安全解决方案。
目前,公司在信息安全领域积累了丰富的经验,拥有一支专业技术团队和高素质员工队伍。
二、业绩展示我公司在过去的XXXX年里,在信息安全服务领域取得了一系列令人瞩目的成绩。
以下是我们的一些代表性项目:1. 项目一:XXX公司合作时间:XXXX年至今项目描述:为XXX公司提供全面的信息安全服务,包括安全开发、漏洞扫描、安全评估等。
通过我们的服务,有效地保护了XXX公司的数据安全和业务稳定。
2. 项目二:XXX银行合作时间:XXXX年至今项目描述:为XXX银行提供安全开发类的信息安全服务,包括安全运维、应急响应、安全培训等。
凭借我们的专业技术和贴心服务,公司与XXX银行建立了长期稳定的合作关系。
除此之外,我们还与多家知名企事业单位合作,积累了丰富的行业经验,得到了广泛的好评。
三、技术实力和专业能力为了能够为客户提供高质量的信息安全服务,我公司一直重视技术实力和专业能力的培养。
我们拥有一支经验丰富的技术团队,他们精通各类信息安全技术,能够应对复杂的安全威胁和攻击。
同时,我们还与多家行业内的研究机构和高校合作,保持与前沿技术的接轨,并不断创新和完善我们的产品和服务。
四、安全管理体系为了确保信息安全服务的高质量和可靠性,我公司建立了完善的安全管理体系,旨在规范公司内部的信息安全工作。
我们严格遵循相关安全标准和法规,注重风险管理和合规性,致力于为客户提供安全可靠的服务。
五、进一步的努力我公司将继续加强自身的技术实力和专业能力,不断进行技术创新和产品升级,为客户提供更加先进、高效的信息安全服务。
国家信息安全测评信息安全服务资质申请指南.doc
国家信息安全测评信息安全服务资质申请指南(安全开发类二级)©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
一、认定依据信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
国家信息安全测评信息安全服务资质申请指南.doc
六盘水市高层次青年人才培养办法第一章总则第一条为贯彻落实《中共六盘水市委六盘水市人民政府关于加强人才培养引进加快科技创新的意见》(六盘水党发〔2013〕11号)和《中共六盘水市委关于进一步实施科教兴市战略大力加强人才队伍建设的实施意见(试行)》(六盘水党发〔2013〕12号)精神,加快推进科教兴市、人才强市战略,进一步完善高层次青年人才发现、培养、使用和评价机制,不断壮大高层次青年人才队伍,结合全市实际,制定本办法。
第二条坚持公开、平等、竞争、择优,并向基层一线倾斜的原则。
第三条培养对象。
在六盘水工作的机关企事业单位和在我市注册的非公有制企业全职从事经济社会发展、科学研究、技术创新或现代服务业等领域的青年人才。
第四条培养方式。
按照分层分类的原则,每年有计划地支持一批在科技创新、教育教学、医疗卫生、工程技术、工业经济、农业农技、社科文艺、现代服务业等领域有一定创新前景和发展潜力的高层次青年人才到省内外进行博士研究生学历提升,支持一批青年骨干专业技术人才到省内外高校、科研机构或人才基地进修深造,支持一批青年骨干专业技术人才参加国家专业注册师资格考试或晋升为正高级专业技术职称。
各类培养对象培养时间为1-5年。
第五条目标任务。
到2020年,力争五年内培养博士、正高级专业技术职称人员、国家注册师等高层次青年人才200名左右,培训青年骨干专业技术人才800名左右,努力造就一支能够紧跟国内外行业发展前沿,在推动我市科技创新、产业发展和学科建设中发挥领军和骨干作用的高层次青年人才队伍。
第二章职责分工第六条在市人才工作领导小组领导下,根据不同层次、不同类别人才特点,由市直相关单位分头组织实施。
1.市科技局牵头高层次青年科技创新人才培养计划。
计划培养博士、正高级专业技术职称人员、国家注册师10名左右;培训青年骨干专业技术人才100名。
条件是在我市电力、煤炭、冶金、建材、煤化工、装备制造等六大科技支撑产业工作,以及在我市从事战略性新兴产业、高新技术产业、特色优势产业中的省、市工程技术研究中心、重点实验室、企业技术中心、科技创新团队、科研院所、高新技术企业、科技创新型企业、民营科技企业创新创业的科技人员。
信息安全服务资质申请书(安全工程类一级)概要六、申请单位的信息系统安全工程过程能力
8、监测系统安全状况的能力(描述如何对安全风险变化、事件记录、安全防护措施进行监视,并识别安全突发事件和对安全突发事件进行响应;提供一份具体项目中关于进行监测系统安全状况的相应文档记录)
分析各种事件记录,以确定一个事件的原因及其发展,以及将来可能发生的事件,对每一个事件进行描述,并建立起日志记录和来源,对最近的日志加以分析并进行一定的归纳。特别要动态的监控威胁、脆弱性、影响、风险和环境变化,并在报告中体现,在报告中对变化的意义进行定期评估。能识别出安全突发事件,定义突发事件并列出突发事件,制定突发事件响应指南,描述出现的突发事件及其相关详细情况,包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动,同时报告各种入侵事件,指明入侵事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。检测安全防护措施的执行情况,以便识别出安全措施执行中的变化。审核系统安全态势以识别必要的修改,描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行分析,并通过第三方权威组织认证,通过报告的形式指明在运行的系统中,安全风险是可接受的。由于许多事件不能预防,因而对破坏的响应能力是十分重要的.为了保证监控活动的可信性,应封存和归档相关的日志、审计报告和相关分析结果。
具体文档见附件4之十
具体文档见附件4之二。
4、评估系统安全风险的能力(描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险;如何对系统的安全风险进行评估,包括选择风险评估方法、风险优先级排列方法等;提供一份具体项目中关于评估系统安全风险的相应文档记录)
安全风险评估应在某一准则限度内进行,有机的建立在脆弱性信息、威胁信息和影响信息的基础上,注意脆弱性、威胁和影响的相互依存,其目标是寻找认为是足够危险的威胁、脆弱性和影响的组合,从而证明相应行动的合理性.根据具体系统环境,选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则,它应该包括一个对风险进行分类和分级的方案,其依据是威胁、运行效能、已建立系统的脆弱性、潜在损失、安全需求等相关问题。因此应描述对风险进行识别和特征化的方法,描述风险及其重要性和相关性。已经被识别的风险应以组织的优先级、风险出现的可能性、与这些因素和可用财力相关的不确定性为依据进行排序。因此需要列出风险优先级清单和可帮助减轻风险的清单,并对优先级排列的描述。
国家信息安全测评信息安全服务资质申请书
国家信息安全测评信息安全服务资质申请书
尊敬的部门:
我单位拟向贵部门申请国家信息安全测评信息安全服务资质,现将相关申请材料递交如下:
一、申请单位基本信息:
单位名称:
统一社会信用代码:
注册地址:
法定代表人/负责人姓名及职务:
二、申请单位基本情况:
1.单位性质:
2.单位属性:
3.单位规模:
4.是否具备相应的人员和技术设备:
5.近三年内是否存在过信息安全事件:
-若存在,请提供处理情况和应对措施;
6.是否具备信息安全应急处理能力:
-若具备,请提供相应的应急处理能力介绍材料。
三、申请资质级别:
请根据贵部门相关规定,选择适应的资质级别进行申请。
四、信息安全测评服务:
1.请提供单位在信息安全测评领域的相关经验和业绩:
-包括承接过的测评项目、合作单位、标的企业等;
2.请提供单位的信息安全测评人员情况:
-包括人员资质、从业年限、技术能力等;
3.请提供单位的信息安全测评设备和工具情况:
-包括设备设施完备性、工具使用证书等;
4.请提供单位信息安全测评服务的流程和方法:
-包括测评流程、测评方法、报告编写等。
五、其他附件:
请在此列出所有随申请书递交的其他附件,如资质证书、公司章程等。
信息安全服务资质申请书指南(信息系统审计类一级)
国家信息安全服务资质灾难恢复服务资质(一级)申请书(试行)申请单位(公章):填表日期:©版权2008—中国信息安全测评中心2008年5月1日目录填表须知 (1)申请表 (2)第1 章申请单位基本情况 (3)第2 章申请单位组织结构 (4)第3 章申请单位近三年资产运营情况 (5)第4 章申请单位人员情况 (7)第5 章申请单位技术能力基本情况 (12)第6 章申请单位的灾难恢复服务过程能力 (15)6.1 确定灾难恢复需求的能力 (16)6.2 评估灾难恢复策略制定过程的能力 (18)6.3评估灾难恢复资源获取方式的能力 (20)6.4 确定灾难恢复资源要求的能力 (22)6.5 进行灾难备份系统技术方案实现的能力 (24)6.6确定灾难备份中心选择和建设的能力 (26)6.7 进行技术支持实现的能力 (28)6.8进行运行维护管理的能力 (30)6.9 评估灾难恢复预案制定的能力 (32)6.10进行灾难预案的教育、培训和演练的能力 (34)6.11进行灾难恢复预案管理的能力 (36)第7 章申请单位的项目和组织过程能力 (38)7.1 如何实现质量保证 (39)7.2 如何对整个系统进行管理配置 (41)7.3 如何管理项目风险 (43)7.4 如何监控技术活动 (45)7.5 如何规划技术活动 (47)7.6如何管理系统工程支撑环境 (49)7.7 如何提供不断发展的知识和技能 (51)7.8 如何与供应商协调 (53)第8 章申请单位灾难恢复服务项目汇总 (55)第9 章申请单位获奖、资格授权情况 (57)第10 章申请单位在灾难恢复服务方面的发展规划 (58)第11 章申请单位其他说明情况 (59)申请单位声明 (60)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1. 中国信息安全测评中心对下列对象进行测评:⏹信息技术产品⏹信息系统⏹提供信息安全服务的组织和单位⏹信息安全专业人员2. 申请单位应仔细阅读《信息安全灾难恢复服务资质申请指南》,并按照其要求如实、详细地填写本申请书所有项目。
信息安全服务资质申请书(大数据安全类一级)
编号:国家信息安全测评信息安全服务资质申请书(大数据安全类一级)(试行)申请单位(公章):填表日期:©版权2017—中国信息安全测评中心2017年9月1日目录填表须知 (2)申请表 (3)一、申请单位基本情况 (3)二、申请单位概况 (4)三、申请单位资产运营情况 (5)四、申请单位人员情况 (7)五、申请单位的基本技术能力 (16)六、申请单位大数据安全服务业绩 (22)七、申请单位的质量管理能力 (24)7.1质量管理体系和管理职责 (24)7.2信息安全管理体系和管理职责 (26)7.3资源管理能力 (28)7.4项目过程管理能力 (30)7.5质量保证与改进能力................................................................................. 错误!未定义书签。
八、申请单位大数据安全服务过程能力 (34)8.1大数据安全需求分析能力 (35)8.2建立大数据安全战略规划体系能力 (37)8.3大数据安全策略制定的能力 (39)8.4大数据安全组织和人员管理的能力 (41)8.5基于数据生命周期安全的设计和技术实现的能力 (43)8.6大数据相关资产识别和管控能力 (45)8.7大数据供应链服务能力 (47)8.8大数据合规性能力 (49)九、申请单位获奖、资格授权情况 (51)十、申请单位在安全服务方面的发展规划 (52)十一、申请单位其他说明情况 (53)十二、申请单位附加信息 (53)申请单位声明 (61)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(大数据安全类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©2014—中国信息安全测评中心2014年5月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (9)五、申请单位技术能力基本情况 (14)六、申请单位的安全风险评估服务过程能力 (17)6.1风险评估的准备 (18)6.2评估系统安全威胁的能力 (20)6.3评估系统脆弱性的能力 (22)6.4评估安全对系统的影响的能力 (24)6.5评估已有安全措施的能力 (26)6.6评估系统安全风险的能力 (28)七、申请单位的项目和组织过程能力 (30)7.1实现质量保证的能力 (31)7.2管理项目风险的能力 (33)7.3规划项目技术活动的能力 (35)7.4监控技术活动的能力 (37)7.5提供不断发展的知识和技能的能力 (39)7.6与供应商协调的能力 (41)八、申请单位安全服务项目汇总 (43)九、申请单位获奖、资格授权情况 (45)十、申请单位在安全服务方面的发展规划 (46)十一、申请单位其他说明情况 (47)十二、申请单位附加信息 (48)申请单位声明 (49)填表须知用户在正式填写本申请书前,须认真阅读并理解以下容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
国家信息安全测评信息安全服务资质申请指南(安全工程类 一级)
国家信息安全测评信息安全服务资质申请指南(安全工程类一级)©版权2008—中国信息安全测评中心2008年8月1日一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 安全工程过程能力要求 (7)3.4 项目和组织过程能力要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4能力测评阶段 (9)4.4.1静态评估 (9)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (10)4.5证书发放阶段 (10)五、监督、维持和升级 (11)六、处置 (11)七、争议、投诉与申诉 (11)八、获证组织档案 (12)九、费用及周期 (12)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:1.为信息技术安全性提供测评服务;2.信息安全漏洞分析;3.信息安全风险评估;4.信息技术产品、信息系统和工程安全测试与评估;5.信息安全服务和信息安全人员资质测评;6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (4)申请表 (5)一、申请单位基本情况 (6)二、申请单位概况 (7)三、申请单位近三年资产运营情况 (8)四、申请单位人员情况 (11)五、申请单位技术能力基本情况 (20)六、申请单位的安全风险评估服务过程能力 (24)6.1风险评估的准备 (25)6.2评估系统安全威胁的能力 (27)6.3评估系统脆弱性的能力 (29)6.4评估安全对系统的影响的能力 (31)6.5评估已有安全措施的能力 (33)6.6评估系统安全风险的能力 (35)七、申请单位的项目和组织过程能力 (37)7.1实现质量保证的能力 (38)7.2管理项目风险的能力 (40)7.3规划项目技术活动的能力 (43)7.4监控技术活动的能力 (46)7.5提供不断发展的知识和技能的能力 (49)7.6与供应商协调的能力 (52)八、申请单位安全服务项目汇总 (55)九、申请单位获奖、资格授权情况 (58)十、申请单位在安全服务方面的发展规划 (59)十一、申请单位其他说明情况 (60)十二、申请单位附加信息 (61)申请单位声明 (62)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
国家信息安全测评信息安全服务资质申请书(安全工程类一级中国信息安全测评中心【模板】
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
国家信息安全测评信息安全服务资质申请指南
国家信息安全测评信息安全服务资质申请指南一、引言为了保障国家信息安全,提升信息系统的安全性能和防护能力,国家对信息安全测评信息安全服务资质进行了规范和管理。
本指南针对安全工程类一级资质进行申请,提供了申请流程和申请材料等相关指导。
二、申请流程1.登录国家信息安全测评信息安全服务资质管理系统,点击申请资质。
2.填写申请资质的基本信息,包括公司名称、统一社会信用代码、申请资质类型等。
3.提交申请材料:将相关申请材料通过系统上传,并确保其真实有效。
4.缴纳申请费用:根据规定,缴纳相应的申请费用。
三、申请材料1.企业法人营业执照:提供有效的企业法人营业执照复印件。
2.统一社会信用代码证书:提供有效的统一社会信用代码证书复印件。
3.企业信用报告:提供最近一个完整的企业信用报告。
4.企业资质证书:提供公司获得的相关信息安全测评信息安全服务资质证书复印件。
5.组织机构代码证:提供有效的组织机构代码证复印件。
6.税务登记证:提供有效的税务登记证复印件。
7.安全测评人员资质证书:提供公司员工具有相关信息安全测评人员资质的证书复印件。
8.安全测评项目经验证明:提供公司过去一段时间内完成的安全测评项目的经验证明文件。
9.安全测评技术方案:提供公司的安全测评技术方案,包括流程、方法和工具等。
10.其他相关材料:根据具体要求,提供其他相关的证明文件或材料。
四、注意事项1.申请材料必须真实有效,如有虚假材料或不符合规定,可能会被驳回或吊销现有资质。
2.提交材料时,请确保材料的完整性和准确性,如有遗漏或错误,可能会影响申请进程。
3.资质证书是公司参与相关信息安全测评项目的重要凭证,请妥善保管和使用。
4.资质证书的有效期一般为三年,到期后需重新申请。
五、结论本指南主要介绍了安全工程类一级资质申请的流程和申请材料,申请人需要按照要求提交所需的材料,并缴纳相应的费用。
在申请过程中,要求申请人遵守相关的法律法规和规章制度,并确保申请材料的真实性和准确性。
国家信息安全测评信息安全服务资质申请指南.doc
国家信息安全测评信息安全服务资质申请指南(安全开发类二级)©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
一、认定依据信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
信息安全服务资质申请指南
信息安全服务资质申请指南信息安全服务是当前非常关注的领域,为了更好地保护用户的个人信息和交易数据安全,越来越多的企业需要提供信息安全服务。
如果您的企业也想提供信息安全服务,您需要申请相关的资质。
下面是一个信息安全服务资质申请的指南。
1. 了解相关规定:在申请资质之前,您需要了解相关的国家和地区的规定。
不同地区有不同的规定和要求,您需要确保您的企业符合相关的法律法规和政策。
2. 准备申请材料:根据相关的规定,准备好需要的申请材料。
一般来说,申请材料包括企业的基本信息、业务范围、组织结构、从业人员的资质和经验等。
3. 填写申请表格:根据要求,填写申请表格。
表格一般包括企业的基本信息、业务范围、从业人员的资质等。
4. 提交申请材料:将填好的申请表格和相关的申请材料提交给相关部门。
不同地区的申请部门可能不同,您需要查找相应的部门并按照要求提交申请材料。
5. 审核和评估:提交申请后,相关部门将对申请进行审核和评估。
他们将评估您的企业是否符合相关的规定和要求,以及是否有能力提供信息安全服务。
6. 颁发资质证书:如果您的申请通过审核和评估,相关部门将颁发相关的资质证书。
证书上会包括您的企业名称、资质级别和有效期等信息。
7. 定期更新和维护:一旦获得资质证书,您需要定期更新和维护资质。
根据要求,您可能需要提交定期报告、进行审核和评估,以确保您的企业仍然符合相关的规定和要求。
请注意,在以上的指南中提到的具体步骤可能因地区而异。
因此,在申请资质之前,您应该仔细研究您所在地区的具体要求和流程。
同时,如果您对于申请资质的具体细节有任何疑问,您可以咨询相关部门或从事相关业务的专业人士。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家信息安全测评信息安全服务资质申请指南(安全工程类一级)©版权2008—中国信息安全测评中心2008年8月1日一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 安全工程过程能力要求 (7)3.4 项目和组织过程能力要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4能力测评阶段 (9)4.4.1静态评估 (9)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (10)4.5证书发放阶段 (10)五、监督、维持和升级 (11)六、处置 (11)七、争议、投诉与申诉 (11)八、获证组织档案 (12)九、费用及周期 (12)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:1.为信息技术安全性提供测评服务;2.信息安全漏洞分析;3.信息安全风险评估;4.信息技术产品、信息系统和工程安全测试与评估;5.信息安全服务和信息安全人员资质测评;6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
一、认定依据信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。
资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级二级:计划跟踪级三级:充分定义级四级:量化控制级五级:持续改进级三、一级资质要求申请信息安全工程服务一级资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全工程服务一级资质具体要求》的规定。
3.1 基本资格要求申请信息安全工程服务资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求3.2.1 组织与管理要求1.必须拥有健全的组织和管理体系,为持续的信息安全工程服务提供保障;2.必须具有专业从事信息安全工程服务的队伍和相应的质量保证;3.与安全工程服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;2.具有不断的技术更新能力;3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;5.具有对发生的突发性安全事件进行分析和解决的能力;6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;8.具有对集成的信息系统进行检测和验证的能力;9.有能力对信息系统系统进行有效的维护;10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求1.具有充足的人力资源和合理的人员结构;2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;3.有相对稳定的从事信息安全服务的技术队伍;4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求1.具有固定的工作场所和良好的工作环境;2.具有先进的开发、测试或模拟环境;3.具有先进的开发、生产和测试设备;4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求1.有足够的注册资金和充足的流动资金;2.具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求1.从事信息安全服务1年以上;2.至少承接过2个以上的安全工程项目;3.近3年完成的信息安全服务的项目总值应在100万以上;4.近3年内在信息安全工程服务方面,没有出现验收未通过的项目。
3.3 安全工程过程能力要求安全工程过程能力是评价信息安全工程服务专业水平高低的标志。
申请组织应能实施以下11个安全工程过程域:1.评估系统面临的安全威胁;2.评估系统的脆弱性;3.评估安全对系统的影响;4.评估系统的安全风险;5.确定系统的安全需求;6.为系统提供必要的安全输入;7.管理系统的安全控制;8.监测系统的安全状况;9.安全协调;10.检验并证实系统的安全性;11.建立并提供安全性保证论据。
3.4 项目和组织过程能力要求项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下8个项目和组织过程域:1.质量保证;2.管理配置;3.管理项目风险;4.监控技术活动;5.规划技术活动;6.管理系统工程支持环境;7.提供不断发展的技能和知识;8.与供应商协调。
四、资质认定4.1认定流程图4.2申请阶段申请组织应首先到CNITSEC网站( )查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(安全工程类一级)》、和《信息安全服务资质申请书(安全工程类一级)》,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请一级信息安全工程服务资质后,根据《信息安全服务资质申请书(安全工程类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。
如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,为现场审核做准备。
如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。
申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。
逾期未整改的,视作整改不符合。
4.4.4资质审定根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。
CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。
CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。
根据申请组织的变化情况,CNITSEC将进行换证维持的资质审查或进一步要求进行现场审核,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站( )下载并填写《信息安全服务资质变更申请书》,并提出资质转移申请。
获证满一年以后,获证组织可根据自身能力的提升,向CNITSEC申请二级资质。