信息安全服务资质申请书(大数据安全类一级)

编号：
国家信息安全测评
信息安全服务资质申请书
(大数据安全类一级)
（试行）
申请单位（公章）：
填表日期：
©版权2017—中国信息安全测评中心
2017年9月1日
目录
填表须知 (2)
申请表 (3)
一、申请单位基本情况 (3)
二、申请单位概况 (4)
三、申请单位资产运营情况 (5)
四、申请单位人员情况 (7)
五、申请单位的基本技术能力 (16)
六、申请单位大数据安全服务业绩 (22)
七、申请单位的质量管理能力 (24)
7.1质量管理体系和管理职责 (24)
7.2信息安全管理体系和管理职责 (26)
7.3资源管理能力 (28)
7.4项目过程管理能力 (30)
7.5质量保证与改进能力................................................................................. 错误!未定义书签。

八、申请单位大数据安全服务过程能力 (34)
8.1大数据安全需求分析能力 (35)
8.2建立大数据安全战略规划体系能力 (37)
8.3大数据安全策略制定的能力 (39)
8.4大数据安全组织和人员管理的能力 (41)
8.5基于数据生命周期安全的设计和技术实现的能力 (43)
8.6大数据相关资产识别和管控能力 (45)
8.7大数据供应链服务能力 (47)
8.8大数据合规性能力 (49)
九、申请单位获奖、资格授权情况 (51)
十、申请单位在安全服务方面的发展规划 (52)
十一、申请单位其他说明情况 (53)
十二、申请单位附加信息 (53)
申请单位声明 (61)
填表须知
用户在正式填写本申请书前，须认真阅读并理解以下内容：
1．中国信息安全测评中心对下列对象进行测评：
●信息技术产品
●信息系统
●提供信息安全服务的组织
●信息安全专业人员
2．申请单位应仔细阅读《信息安全服务资质申请指南（大数据安全类一级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。

4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。

6．本申请书要求提供的附件及证明材料须单独装订成册并编目。

提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。

7．如有疑问，请与中国信息安全测评中心联系。

中国信息安全测评中心
地址：北京市海淀区上地西路8号院1号楼
邮编：100085
电话：（010）82341188或82341118
传真：82341100
网址：
电子邮箱：cnitsec@
申请表
中国信息安全测评中心：
我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质测评活动。

1．申请服务类型
□ A类（不具有外资背景）□ B类（具有外资背景）2．申请服务内容
□大数据安全服务（大数据平台安全、大数据生命周期安全）3．申请类型
□初次申请
□再次申请，第次申请
□级别变更
（原资质级别：□一级□二级□三级□四级□五级）注：以上各项均为单选。

申请单位（盖章）：
申请日期：年月日一、申请单位基本情况
申请单位全称（中文）：
申请单位全称（英文）：
注册地址：
办公地址：邮政编码
法定代表人姓名：职务：
联系人姓名：职务：
电子邮箱：
联系方式：电话（）
传真（）
手机（）
工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：
法人机构代码（附法人机构代码证副本复印件）：
统一社会信用代码（附统一社会信用代码证副本复印件）：
已获的国家信息安全服务资质证书号码（附资质证书复印件）：
其他重要的法律文件：
二、申请单位概况
本项包括以下要求：
1.描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结
构、业绩等）；
2.给出总体的组织结构图（应体现组织与大数据安全服务相关部门的关
系）；
3.描述与上述组织结构图相对应的各部门的职能。

应明确涉及大数据安全
服务的管理、研发、实施、质量保证、客户服务、人力资源管理、培训
和合同管理等与各部门的对应关系。

三、申请单位资产运营情况
本项包括以下要求：
1.单位近三年资产运营情况（加盖公章）（表3-1）；
2.近三年审计报告与信用等级证明材料（审计报告、审计机构提供的资产
状况良好的证明材料、加盖公章的资产负债表和损益表）；
3.财务亏损或其它异常状况发生说明情况，并提供相应的证明材料。

--
申请组织近三年资产运营情况表
注：安全服务收入包括：涉及大数据安全服务相关的设计费、软件开发费、系统集成费、服务费和培训费、工程费用等。

--
四、申请单位人员情况
本项包括以下要求：
1.组织法定代表人情况（表4- 1）；
2.组织负责人情况（表4-2）；
3.技术负责人（表4-3）；
4.大数据安全服务负责人情况（表4-4）；
5.质量管理负责人情况（表4-5）；
6.财务负责人情况（表4-6）；
7.以上人员的任职、学历、职称、业绩证明材料复印件；
8.与大数据安全服务相关（包括管理、业务、技术、质量、行政等方
面）的所有人员名单（表4-7）；
9.大数据安全服务专业技术人员基本情况，并提供具有CISP资格人员
的CISP证书复印件（表4-8）。

申请组织法定代表人情况表
申请组织负责人情况表
申请组织技术负责人情况表
申请组织大数据安全服务负责人情况
申请组织质量管理负责人情况
申请组织财务负责人情况
与大数据安全服务相关（包括管理、业务、技术、质量、行政等方面）的所有人员名单
--
大数据安全服务专业技术人员基本情况
--
--
五、申请单位的基本技术能力
本项根据表内容详细填写，包括：
1.自主开发产品情况（表5-1）；
2.工作环境设施情况（表5-2）；
3.测试模拟环境境况（表5-3）；
4.模拟演示环境情况（表5-4）；
5.常用安全服务工具情况（表5-5）；
6.安全服务渠道情况（表5-6）。

单位技术能力基本情况表
--
--
--
六、申请单位大数据安全服务业绩
本项要求：
1.按照表6-1中格式详细填写，并加盖单位公章；
2.填写最近三个年度承接的大数据安全服务项目（以合同签订时间为准，如属纯销货合同项目，则不在填报范围之内）；
3.项目名称请严格按照合同填写；
4.大数据安全服务按照数据采集过程,数据存储过程,数据传输过程,数据处理过程，数据交换过程，数据销毁过程来分类，
填写表中“项目性质”时选择上述类别之一或多项组合；
5.已完成的项目在“进展情况”中注明，并将合计填入“已完成的项目总金额”；
6.提供项目承接合同的复印件；
7.提供所有已验收项目的验收报告。

申请单位近三年大数据安全服务项目汇总表
--
--
七、申请单位的质量管理能力
本项包括以下内容：
1.质量保证和改进能力；
2.管理项目风险的能力；
3.资源管理能力；
4.项目过程管理能力；
5.提供不断发展的知识和技能的能力。

7.1质量保证和改进能力
本项包括以下要求：
1.概要描述申请单位在质量保证和改进能力（包括质量保证、纠正和
预防措施等）方面的整体情况；
2.提供申请单位实施质量保证与改进工作的证明材料、相关文档及记
录。

表7-1
⏹在“详细描述”对单位的“质量保证和改进”总体情况进行说明；
⏹在“备注”中注明执行质量保证和改进证据材料的名称，证据材料作为本章
节附件。

7.2管理项目风险的能力
本项包括以下要求：
1．描述组织管理项目风险的情况；
2．提供进行大数据安全服务项目中的管理项目风险的相应文档、记录。

表7-2
⏹在“详细描述”对单位的“管理项目风险”的总体情况进行说明；
⏹在“备注”中注明执行项目风险管理证据材料的名称，证据材料作为本章节
附件。

7.3资源管理能力
本项包括以下要求：
1.概要描述申请单位在资源管理能力（包括人力资源管理、设备及工
具资源管理、文件控制管理、保密与所有权保护管理、安全产品和
工具采购管理等）方面的整体情况；
2.提供组织管理资源的项目文件、记录。

表7-3
⏹在“详细描述”中对单位的“资源管理能力”总体情况进行说明；
⏹在“备注”中注明执行资源管理证据材料的名称，证据材料作为本章节附件。

7.4项目过程管理能力
本项包括以下要求：
1.概要描述申请单位在项目过程管理能力（包括定义项目工程过程、
客户要求评审管理、规划技术活动管理、项目风险管理、工程支持
环境管理、监督和控制技术工作等）方面的整体情况；
2.提供组织在具体大数据安全服务项目中的过程管理相关文档、记录。

表7-4
⏹在“详细描述”中对单位的“项目过程管理能力”总体情况进行说明；
⏹在“备注”中注明执行项目过程管理的证据材料的名称，证据材料作为本章
节附件。

7.5提供不断发展知识和技能的能力
本项包括以下要求：
1.提供组织是如果发展知识和技能的；
2.提供关于提供不断发展知识和技能的相关文件、记录。

表7-5
⏹在“详细描述”中对单位的“提供不断发展的知识和技能”总体情况进行说
明；
⏹在“备注”中注明提供执行不断发展知识和技能的证据材料的名称，证据材
料作为本章节附件。

八、申请单位大数据安全服务过程能力
大数据安全服务过程包括以下八项内容：
1.大数据安全需求分析的能力；
2.建立大数据安全战略规划体系能力
3.大数据安全策略制定的能力；
4.大数据安全组织和人员管理的能力；
5.基于数据生命周期安全的设计和技术实现的能力；
6.大数据相关资产识别和管控能力；
7.大数据供应链服务能力；
8.大数据合规性能力；
8.1 大数据安全需求分析能力
本项要求：
1.详细描述申请单位是如何分析大数据安全需求，需求分析的依据可
以包括：国家法律、法规、标准与主管机构的政策规范合规要求，组织战略，组织业务的安全要求，大数据服务安全风险和应对措施要求，数据供应链上下游的安全要求等。

2.详细描述申请单位是如何分析并明确针对大数据服务安全的分级化
安全需求。

3.提供具体项目中关于确定大数据安全需求的相应文档、记录。

表8－1
⏹在“详细描述”对单位进行“大数据安全需求分析”的主体情况进行说明；
⏹在“备注”中注明执行大数据安全需求分析证据材料的名称，证据材料作为
本章节附件。

8.2 建立大数据安全战略规划体系能力
本项要求：
1. 详细描述申请单位如何建立组织层面大数据安全战略规划体系，保证大
数据战略规划与组织的大数据业务规划相适应；
2. 提供一份具体项目中关于建立大数据安全战略规划体系的相应文档、记
录。

表8－2
⏹在“详细描述”对单位进行“建立大数据安全战略规划体系”的主体情况进
行说明；
⏹在“备注”中注明执行建立大数据安全战略规划体系证据材料的名称，证据
材料作为本章节附件。

8.3 大数据安全策略制定的能力
本项要求：
1.详细描述申请单位是如何制定大数据安全策略，包括但不限于：数
据资产，元数据安全，数据供应链，数据服务接口，合规性管理等方面的策略，以实现对大数据全生命周期安全管理的全面覆盖。

2.提供一份具体项目中关于建立整体数据安全策略及规范的相应文
档、记录。

表8－3
⏹在“详细描述”对单位进行“建立大数据安全战略规划体系”的主体情况进
行说明；
⏹在“备注”中注明执行建立大数据安全战略规划体系证据材料的名称，证据
材料作为本章节附件。

8.4 大数据安全组织和人员管理的能力
本项要求：
1.详细描述申请单位如何建立大数据安全组织，包括：组织结构、角
色、职责；
2.详细描述申请单位如何确保人力资源符合大数据业务的安全需求，
可包括：人力资源管理、第三方人员管理、安全意识培训、安全能力培训等。

3.提供一份具体项目中关于建立大数据安全组织，并确保人力资源符
合安全需求的相应文档、记录。

表8－4
⏹在“详细描述”对单位进行“大数据安全组织和人员管理”的主体情况进行
说明；
⏹在“备注”中注明执行大数据安全组织和人员管理证据材料的名称，证据材
料作为本章节附件。

8.5 基于数据生命周期安全的设计和技术实现的能力
本项要求：
1.详细描述申请单位是如何设计和实现基于数据生命周期的安全的能
力。

数据生命周期各阶段的安全能力，包括以下内容：
1) 数据采集过程的安全能力，可包括但不限于：数据分类分级，数
据收集和获取，数据清洗、转换与加载，数据质量监控。

2) 数据传输过程的安全能力。

3) 数据存储过程的安全能力，可包括但不限于：存储架构，逻辑存
储环境，访问控制，数据副本，数据归档，数据时效性。

4) 数据处理过程的安全能力，可包括但不限于：分布式处理安全，
数据分析安全，数据正当使用，密文数据处理，数据脱敏处理，数据溯
源，数据留痕。

5) 数据交换过程的安全能力，可包括但不限于：数据导入导出安全，
数据共享安全，数据发布安全，数据交换监控。

6) 数据销毁过程的安全能力，可包括但不限于：介质使用安全，数
据销毁处置，介质销毁处置。

2.提供具体项目中关于大数据安全的设计和技术实现的相应文档、记
录。

表8－5
⏹在“详细描述”对单位进行“大数据安全设计和技术实现”的主体情况进行
说明；
⏹在“备注”中注明执行大数据安全设计和技术实现证据材料的名称，证据材
料作为本章节附件。

8.6 大数据相关资产识别和管控能力
本项要求：
1.详细描述申请单位是如何实现大数据相关的数据资产识别和管控；
2.详细描述申请单位是如何实现大数据相关的系统资产识别和管控，
系统资产为支撑大数据相关的系统，包含且不限于应用系统、操作系统、数据库、中间件、硬件系统等；
3.提供一份具体项目中关于数据资产和系统资产识别和管控的相应文
档、记录。

表8－6
⏹在“详细描述”对单位进行“大数据相关资产管理”的主体情况进行说明；
⏹在“备注”中注明执行大数据相关资产管理证据材料的名称，证据材料作为
本章节附件。

8.7 大数据供应链服务能力
本项要求：
1.详细描述申请单位如何实现大数据上下游供应链服务。

2.详细描述申请单位如何实现数据服务接口服务。

3.提供一份具体项目中关于大数据供应链服务和数据服务接口服务的
相应文档、记录。

表8－7
⏹在“详细描述”对单位进行“大数据供应链管理”的主体情况进行说明；
⏹在“备注”中注明执行大数据供应链管理证据材料的名称，证据材料作为本
章节附件。

8.8 大数据合规性能力
本项要求：
1.详细描述申请单位如何实现大数据合规性要求。

2.提供具体项目中关于大数据合规性的相应文档、记录。

表8－8
⏹在“详细描述”对单位进行“大数据合规性管理”的主体情况进行说明；
⏹在“备注”中注明执行大数据合规性管理证据材料的名称，证据材料作为本
章节附件。