信息安全风险服务资质认证自表填写

合集下载

信息系统安全服务资质测评认证指南-中国信息安全测评中心[002]

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

信息安全自查表

信息安全自查表
-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
信息安全自查表
自查单位：
填表日期：
一、单位基本情况
1.单位基本情况
2.信息网络系统主要设备、安全设备情况
二、安全自查内容1．安全管理制度
2．定期检测升级措施
3．日志留存、数据备份措施
4．安全审计措施
5．有害信息过滤措施和群发信息限制措施
6．已采取的防范网络攻击技术措施
7．重要网站网页自动恢复措施
8．安全管理责任人、信息审查员的任免和安全责任制度（如开设有网站，应有信息审查员，否则不需要）
9．信息发布制度
10．用户登记制度
11．用户主叫号码、网络地址映射记录措施（互联网接入服务单位）
12．身份登记和识别确认措施
13．安全隐患消除情况
14．应急联动机制建立
三、信息安全等级保护自查内容
1．部署和组织实施情况
2．信息安全管理制度建立和落实情况
3．信息系统安全等级保护定级备案情况
4. 信息安全设施建设情况和信息安全整改情况
5. 信息安全产品选择和使用情况
6. 聘请测评机构开展技术测评情况（包括差距测评和整改后的测评）
7. 定期自查情况
四、工作建议
填表人：联系电话：。

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・需求调研与分析
调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。
准备阶段控制程序文件，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、评审，产品选型，财务预算。提供投标文件、项目文档等证明。
仅一级要求：对于新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方而要求。对于系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等。
序号
17.
要点
条款
需提供证明材料
自评估结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符合
不符合
1・
2.
技术服务要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程，流程图中应包括每个阶段对应的职责、输入输岀等。
制左信息系统安全集成服务规范并按照规范实施。
审核条款要求。
仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。
仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求，编制安全集成技术方案。

国家信息安全测评信息安全服务资质申请书【模板】

7．如有疑问，请与中国信息安全测评中心联系。
中国信息安全测评中心
地址：XX市海淀区上地西路8号院1号楼
邮编：******
电话：（010）********或********
传真：********
网址：******
电子邮箱：(******)
中国信息安全测评中心：
我单位正式提出信息安全服务资质申请，并保证将按照信息安全服务资质的要求，提供所需的所有真实信息，并配合资质测评活动。
已获的国家信息安全服务资质证书号码（附资质证书复印件）：
其他重要的法律文件：
二、
本项包括以下要求：
1.描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、业绩等）；
2.给出总体的组织结构图（应体现组织与信息安全工程服务相关部门的关系）；
3.描述与上述组织结构图相对应的各部门的职能。应明确涉及安全服务的管理、研发、安全工程实施、质量保证、客户服务、人力资源管理、培训和合同管理等与各部门的对应关系。
申请日期：年月日
一、
申请单位全称（中文）：
申请单位全称（英文）：
注册地址：
办公地址：邮政编码
法定代表人姓名：职务：
联系人姓名：职务：
电子邮箱：
联系方式：电话（）
传真（）
手机（）
工商登记注册号（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：
法人机构代码（附法人机构代码证副本复印件）：
近三年资产负债表
年
年
年
年
年
年
资产总额
负债与所有者权益总额
流动资产
负债总额
其
中
应收帐款
其
中
流动负债

ccrc信息安全风险评估服务资质认证证书模板

ccrc信息安全风险评估服务资质认证证书模板文章《深度探讨CCRC信息安全风险评估服务资质认证证书模板》一、引言在当今信息化的社会，信息安全风险评估已经成为了企业、组织及个人必须面对的重要问题。

尤其对于涉及大量用户信息的CCRC（云计算资源中心）来说，信息安全风险评估更是至关重要的一环。

在这样的背景下，CCRC信息安全风险评估服务资质认证证书模板应运而生。

这一模板的推出，为CCRC的信息安全风险评估提供了一种标准化和规范化的方法，有助于提高CCRC的信息安全水平，降低信息安全风险。

二、CCRC信息安全风险评估服务资质认证证书模板概述1. 模板的设计理念CCRC信息安全风险评估服务资质认证证书模板的设计理念是通过明确的标准和规范，对CCRC的信息安全风险进行客观、全面的评估，从而提供专业的服务认证证书。

这样的模板不仅有助于CCRC自我评估和改进，还能够给用户和监管机构提供信心，确保其信息安全风险得到有效管控。

2. 模板的具体内容CCRC信息安全风险评估服务资质认证证书模板通常包括以下内容：CCRC的基本信息、信息安全管理制度、信息安全风险评估流程、信息安全风险评估结果、信息安全改进措施、认证机构意见等。

这些内容的明确定义和规范化有助于评估者更加客观、全面地评估CCRC的信息安全风险，同时也方便认证机构对CCRC的信息安全水平进行认证和监督。

三、CCRC信息安全风险评估服务资质认证证书模板的意义CCRC信息安全风险评估服务资质认证证书模板的意义主要体现在以下几个方面：- 标准化和规范化这一模板的推出有助于统一CCRC信息安全风险评估的标准和方法，使得不同的评估者和认证机构可以按照相同的标准进行评估和认证，提高评估和认证的公正性和客观性。

- 改进信息安全水平通过持续地使用和改进这一模板，CCRC可以更加系统地了解自身的信息安全风险，采取有针对性的措施来改进信息安全水平，确保用户数据的安全和隐私。

- 提升用户信心CCRC获得了符合CCRC信息安全风险评估服务资质认证证书模板的认证，能够向用户和监管机构展示其信息安全水平得到了第三方权威机构的认可，提升了用户对CCRC的信心，有助于吸引更多的用户和合作伙伴。

信息安全风险评估表格

信息安全风险评估表格
风险类型风险描述
影响程
度
发生概
率
风险级
别
建议控制措施
1 数据泄露高中高加强访问控制、加密敏感数
据
2 病毒感染中高高安装有效的防病毒软件、定
期更新
3 员工错误中中中提供培训、建立标准操作流
程
4 物理入侵高低中使用安全门禁系统、视频监
控
5 网络攻击高中高实施防火墙、入侵检测和预
防系统
6 不当使用
权限
中中中角色分离、最小权限原则... ... ... ... ... ...
在表格中，每一行代表一个特定的风险。

各列的含义如下：
风险类型：对风险进行分类或编号，方便跟踪和识别。

风险描述：简要描述风险的具体情况，例如数据泄露、病毒感染等。

影响程度：评估风险发生后可能对组织造成的影响程度，如高、中、低等级。

发生概率：评估风险发生的概率，通常使用高、中、低等级或百分比表示。

风险级别：根据影响程度和发生概率综合评估的风险级别，可以通过计算得出或根据经验判断。

建议控制措施：提供针对该风险的建议控制措施，用于降低风险的发生和影响。

信息系统安全运维服务资质认证自表

33.
仅二级/一级要求：收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性（专职管理）。
配置数据库，应能初步收集资产与配置项，并确保配置项目的机密性、完整性、可用性（专职管理），如安全设备的配置项有安全策略、管理员账户、IP等。
34.
仅二级/一级要求：实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理，定期对配置项进行更新和维护。
15.
在安全运维服务方案中明确健康检查服务的服务方式、检查频次和检查内容。
项目服务方案对健康检查服务的服务方式、检查频次和检查内容进行明确。
16.
专业人员负责安全管理的接口。
运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。
17.
仅二级/一级要求：编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
5.
与客户进行沟通，达成共识并形成记录。
与客户沟通形成的记录，内容应有对运维服务项目达成共识的体现。
6.
仅二级/一级要求：分析客户对信息系统安全运维服务的需求和类型。
对客户进行调查的记录，内容中应有信息系统安全运维服务的需求和类型，如应用安全：应用系统安全测试、安全监控、安全事件应急等。
39.
仅一级要求：实施应急响应服务：完成应急响应预案制定，对应急事件及时响应，并对应急预案进行演练，形成相关记录。
应急响应记录；
应急响应预案，应急演练的记录。
40.
仅一级要求：依据运维变更管理程序，对运维实施过程中方案、资源变更进行有效控制，完整记录变更过程。
运维过程中的变更记录。

信息安全风险评估服务资质

信息安全风险评估服务资质信息安全风险评估服务资质是指企业或组织具备进行信息安全风险评估服务的资格和能力。

下面是信息安全风险评估服务资质的详细介绍：1. 资质要求：- 专业技术人员资质：评估服务机构应具备一支技术专业、能力较强的团队，团队成员应具备相关行业的专业技术背景，如网络安全、信息安全等。

- 相关认证资质：评估服务机构应具备相关的认证资质，例如CISSP（Certified Information Systems Security Professional）、CISA（Certified Information Systems Auditor）等。

2. 组织架构：- 职责分工明确：机构应有明确的评估服务组织架构，各个职能部门之间的职责分工明确，确保评估服务的高效运作。

- 人员配置合理：机构应合理配置不同层次、不同专业的人员，以满足不同客户的需求。

- 人员培训与发展：机构应对人员进行定期培训和专业发展，提高人员的技术能力和服务水平。

3. 服务能力：- 系统化的评估方法：机构应具备一套系统化的信息安全风险评估方法，能够全面、科学地评估客户的信息安全风险。

- 先进的评估工具：机构应具备先进的信息安全评估工具，如漏洞扫描工具、风险评估工具等，提高评估效率和准确性。

- 完善的报告和建议：机构应能够提供清晰、完善的评估报告和风险建议，帮助客户识别和解决潜在的安全风险。

- 保密能力：机构应有健全的信息保密制度和安全措施，确保客户信息的保密和安全。

4. 项目实施能力：- 项目管理能力：机构应具备完善的项目管理能力，能够合理安排和执行项目工作，确保评估服务按时、高质量地完成。

- 风险评估技术能力：机构应具备丰富的风险评估实施经验和技术能力，能够根据客户的具体情况，制定相应的评估方案和实施方法。

- 风险评估结果解读能力：机构应能够准确解读评估结果，帮助客户理解评估报告中的风险等级和建议，并为客户提供相应的风险应对措施。

信息安全风险评估服务资质认证自评估表填写指南

信息安全风险评估服务资质认证自评估表填写指南填写要求：1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。

例如《XX公司信息安全风险评估服务规范》、《XX项目信息安全风险评估实施方案》、《XX公司风评工具管理制度》、《XX项目资产清单》、《XX项目信息安全风险评估报告》等，并概括地介绍制度或项目文档各章节的主要内容。

2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。

例如《工具适用性测试记录》、《XX项目人员培训记录》、《XX项目专家评审意见》等，并概括地介绍记录文档的主要内容。

3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。

例如《XX项目信息安全风险评估实施方案》第X章项目团队介绍、《XX项目信息安全风险评估报告》第X章脆弱性分析等，并对相关内容进行总结概括。

4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容”，例如“1-服务流程”、“6-挖掘漏洞信息”、“13-风险评估工具”、“32-已有安全措施分析”等。

以下给出了一份填写样例，供申请组织进行参考。

填报组织应按照填写样例的细粒度，进行相关信息的填报。

当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。

组织名称 XX公司（全称）申报级别X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全风险评估服务流程。

信息安全服务资质认证证书认证内容

信息安全服务资质认证证书一、认证内容概述信息安全服务资质认证证书是对信息安全服务机构的资质进行认定的证明。

认证内容主要包括以下方面：1. 法律法规的遵守：信息安全服务机构需合法合规开展相关业务，且能够严格遵守国家相关的法律法规。

2. 信息安全管理体系的建立与运行：信息安全服务机构需要建立完善的信息安全管理体系，并且能够保证其有效运行。

3. 信息安全技术能力与水平：信息安全服务机构需要具备一定的信息安全技术能力与水平，能够满足客户的需求。

4. 信息安全服务项目与能力：信息安全服务机构能够提供多种类型的信息安全服务项目，且能够保证其服务的质量和效果。

5. 客户信息保护与隐私保密：信息安全服务机构需保护客户的信息安全和隐私，且不得泄露客户信息。

6. 信息安全服务绩效与效果：信息安全服务机构能够对其服务的绩效与效果实施评估，并不断改进和提升其服务水平。

7. 其他相关内容：信息安全服务资质认证还可能包括其他相关的内容，具体视认证机构的要求而定。

以上是信息安全服务资质认证证书的基本认证内容概述，下面将从各个方面进行详细探讨。

二、法律法规的遵守信息安全服务机构在申请认证时，需要能够证明自己严格遵守国家相关的法律法规。

要求机构在运行过程中能够不断更新并遵守最新的相关法律法规，确保服务内容和方式符合法规要求。

机构应对员工进行相关法律法规的培训，提高员工的法律意识和法规遵守能力。

再次，机构需要建立健全的内部管理制度，以确保每项业务都符合法律法规的要求。

机构要在认证的过程中提供相关的证明材料和数据，以证明其合法合规的运行状态。

对于信息安全服务机构而言，合法合规的运营不仅是对外的资质认证要求，更是对自身合法合规意识的培养和规范。

在具体的认证流程中，除了准备相关的法规遵守证明文件外，机构还需接受认证机构的定期审核和检查，以确保其法律法规的遵守程度。

三、信息安全管理体系的建立与运行信息安全服务机构需要建立健全的信息安全管理体系，该管理体系应能够覆盖机构所有的信息安全相关活动，并确保其有效运行。

信息系统安全运维自评估表-信息安全服务资质

仅二级要求：建立信息系统安全配置
20.
库。
及的配置项，如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求：建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求：编制安全运维项目作业安全运维作业指导书，例如：配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算，其中包括运维服
4.
调研与进行信息系统运维预算，定义运维服务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通，达成共识并形成记与客户沟通形成的记录，内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心制
仅一级要求：建立应急响应和灾难恢
23.
复机制，形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求：在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施实施初始服务，完成资产识别。
资产识别表，为 IT 资产的标识、分级、保护和软件配置建立基础资料档案；有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信
完整性、可用性（专职管理）。
项有安全策略、管理员账户、IP等。
仅二级/一级要求：实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。资产的安全配置管理，定期对配置项
进行更新和维护。

安全风险评估表怎样填写

安全风险评估表怎样填写
在填写安全风险评估表时，需要考虑以下几个方面，并描述相关内容。

1. 风险事件描述：首先需要详细描述可能发生的风险事件，包括事件的背景、性质和可能导致的后果。

例如，网络攻击、数据泄露、自然灾害等。

2. 风险概率评估：评估风险事件发生的概率。

可以基于过去的类似事件发生频率、系统漏洞的严重程度以及安全防护的情况等进行评估。

以数值或概率分布的形式表示。

3. 风险影响评估：评估风险事件发生后对组织或项目的影响程度，包括财务、声誉、合规性等方面。

根据风险事件可能导致的损失程度进行评估。

4. 风险级别评估：根据概率和影响的评估结果，将风险进行分类。

可以使用颜色、字母或数字等符号来表示不同级别的风险，例如红色表示高风险、黄色表示中风险、绿色表示低风险等。

5. 风险控制措施：对于高风险的事件，需要制定相应的控制措施来减少风险的发生概率或降低风险的影响。

列出具体的控制措施，并标明责任人、计划开始和完成日期等信息。

6. 风险追踪：风险评估表需要进行定期的追踪和更新，以监控风险的演变和控制措施的有效性。

在表格中可以添加风险追踪的栏目，记录风险事件的实际发生情况、控制措施的执行情况
和风险级别的变化等。

在填写安全风险评估表时，需要尽可能详细和全面地描述风险事件，科学准确地评估风险概率和影响程度，制定灵活有效的风险控制措施，并进行定期的追踪和更新。

同时，在填写表格时要注意简洁明了，重点突出，以便于信息的清晰传达和沟通。

信息安全应急处理服务资质认证自表

3.
准备阶段
明确客户的应急需求。
应急服务内容，已完成项目中对客户应急需求进行调研分析的证明材料。
4.
了解客户应急预案的内容。
需对客户自身已建立的应急预案的内容进行了解与熟悉（客户应急预案的内容）。
5.
配备有处理网络或信息安全事件的工具包，包括常用的系统命令、工具软件等。
工具包及工具列表
6.
仅二级/一级要求：网络与信息安全事件工具包中应配备专业技术检测设备。
40.
恢复阶段
告知客户网络或信息安全事件的恢复方法及可能存在的风险。
应急处理恢复阶段涉及的风险阐述及告知记录。
41.
（如需重建系统时适用该条款）对于不能彻底恢复配置和彻底清除系统上的恶意文件，或不能肯定系统经过根除处理后是否可恢复正常时，应选择重建系统。
重建系统的相关过程记录。
42.
（如需重建系统时适用该条款）应协助客户按照系统的初始化安全策略恢复系统。
23.
仅二级/一级要求：建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
提供相应的检测技术规范列表及各规范内容（范本或应用本），如针对windows、Aix、Unix、Linux、oracle、Firewalls、Router等。
24.
仅二级/一级要求：协助客户确定安全事件等级。
应急处理方案中对社会影响进行分析的证明材料。
31.
抑制阶段
与客户充分沟通，使其了解所面临的首要问题及抑制处理的目的。
沟通的内容及结果。
32.
在采取抑制措施之前，应告知客户可能存在的风险。
应急处理抑制阶段涉及的风险阐述及告知记录。
33.
严格执行抑制处理方案中规定的内容，如有必要更改，须获得客户的授权。

信息安全风险评估服务资质认证自评估表

已完成项目中对残余风险进行再评估的证明材料。
53.
上一年度提出的观察项整改情况（如有）
54.
55.
56.
上一年度提出的不符合项整改情况（如有）
57.
58.
自评估结论：
经自主评估，本单位的信息安全风险评估服务满足《信息安全服务规范》级要求，申请第三方审核。
本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。
14.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍，工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
48.
风险处置阶段-安全整改建议
仅二级/一级要求：对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求：协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料，如会议通知、专家签到表、专家意见等。
仅一级要求：需采取相关措施，保障工具管理的规范性。
已制定的工具管理制度及执行记录。
19.
风险识别阶段-资产识别
参考国家或国际标准，对资产进行分类。
参照已发布的标准，形成的资产分类列表。
20.
识别重
对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。

国家信息安全测评信息安全服务资质申请书(安全工程类一级中国信息安全测评中心【模板】

编号：国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位（公章）：填表日期：©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1．中国信息安全测评中心对下列对象进行测评：●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2．申请单位应仔细阅读《信息安全服务资质申请指南（安全工程类一级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

中国信息安全认证中心制
第 1 页共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称评估时间
XX 公司（全称） XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序要点
号
条款
需提供证明材料
结论不
符符
合合
行业类型：
中国信息安全认证中心制
第 2 页共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序要点
号
条款
需提供证明材料
结论不
符符
合合
证明材料清单
该系统的用户数在 10,000 以上；具备从脆弱性识别的材料。
系统规模（用户数）：
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上；具备从业务、层面对脆弱性进行识别的材料。
行业类型：系统规模（用户数）：合同签订时间：
管理和技术层面对脆弱性进行识别的
项目验收时间：
能力。
合同金额：
3.项目名称：
行业类型：
系统规模（用户数）：
合同签订时间：
项目验收时间：
合同金额：
中国信息安全认证中心制
第 3 页共 12 页
证明材料清单
提供《信息安全风险评估服务流程》（包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段），对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。服务技术
要求
按照相关标准建立的信息安全风险评估服务流程，流程图中应包括每个阶段对应的职责、输入输出等。
内容、输出进行了说明。 1.XX 阶段：目标：工作内容：
收的证明材料，包括管理或（和）技
基本资格进行识别的能力。
术层面脆弱性识别的材料。
项目名称：系统规模（用户数）：合同签订时间：项目验收时间：合同金额：
仅二级要求：针对多种类型组织，多行一个已完成项目的合同、用户数、验
项目名称：
4.
Байду номын сангаас
业组织，至少完成一个风险评估项目，收的证明材料，包括管理和技术层面
7.
准备阶段-
编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。
信息安全风险评估方案、风险评估模板。
服务方案
制定
提供《风险评估实施方案模板》、包含 XX、XX、XX、 XX 等章节内容，提供《风险评估报告模板》，包含 XX、XX、XX 等章节内容。
应为风险评估实施活动提供总体计划已完成项目的风险评估方案，方案中
提供 XX 项目的《风险评估项目实施方案》，在 XX 章节，
8.
或方案，方案应包含风险评价原则。应包含风险评价原则。
对风险评估理论模型、评估原则和方式进行了明确，风
中国信息安全认证中心制
第 4 页共 12 页
ISCCC-QOG-0408-B/0
仅一级要求：具备跟踪、验证、挖掘信跟踪、验证、挖掘信息安全漏洞的证
CNNVD-201510-XXX 提交人：XX
6.
息安全漏洞的能力。
明材料。
CNNVD-201510-XXX 提交人：XX
CNNVD-201603-XXX 提交人：XX
提供 XX 项目的《风险评估项目实施方案》，包含 XX、
XX、XX、XX 等章节内容。
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
信息安全风险评估服务资质认证自评估表填写指南
填写要求： 1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。例如《XX 公司信息安全风险评估服务规范》、《XX 项目信息安全风险评估实施方案》、《XX 公司风评工具管理制度》、《XX 项目资产清单》、《XX 项目信息安全风险评估报告》等，并概括地介绍制度或项目文档各章节的主要内容。 2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。例如《工具适用性测试记录》、《XX 项目人员培训记录》、《XX 项目专家评审意见》等，并概括地介绍记录文档的主要内容。 3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX 项目信息安全风险评估实施方案》第 X 章项目团队介绍、《XX 项目信息安全风险评估报告》第 X 章脆弱性分析等，并对相关内容进行总结概括。 4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容”，例如“1-服务流程”、“6-挖掘漏洞信息”、“13-风险评估工具”、“32-已有安全措施分析”等。以下给出了一份填写样例，供申请组织进行参考。填报组织应按照填写样例的细粒度，进行相关信息的填报。当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。
合同签订时间：
能力。
项目验收时间：
合同金额：
1.项目名称：
行业类型：
系统规模（用户数）：
合同签订时间：
项目验收时间：
合同金额：
仅一级要求：能够在全国范围内，针对
2.项目名称：
5.
5 个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的
5 个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序要点
号
条款
需提供证明材料
结论不
符符
合合
证明材料清单
4.项目名称：
行业类型：
系统规模（用户数）：
合同签订时间：
项目验收时间：
合同金额：
5.项目名称：
行业类型：
系统规模（用户数）：
合同签订时间：
提供公司近 X 年提交的漏洞信息：
输出：
……
制定信息安全风险评估服务规范并按已制定的信息安全风险评估服务规
提供《XX 公司风险评估服务规范》，包含 XX、XX、XX、
2.
照规范实施。
范。
XX 等章节内容。
仅三级要求：至少有一个完成的风险评一个已完成项目的合同、用户数、验
3.
估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性