信息安全风险评估服务资质申请书

申请编号 信息安全风险评估服务资质信息安全风险评估服务资质 认证申请书认证申请书 第 第 1 1 版 版 申请组织 盖章 申请日期 中国信息安全认证中心中国信息安全认证中心 制制 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 I 页 目目 录录 填表须知填表须知 1 申请信息申请信息 2 1 申请组织基本情况申请组织基本情况 3 2 申请组织业绩要求申请组织业绩要求 3 3 申请组织从事信息安全风险评估服务的人员情况申请组织从事信息安全风险评估服务的人员情况 3 4 申请组织管理情况申请组织管理情况 4 5 申请组织设备 设施与环境情况申请组织设备 设施与环境情况 4 6 申请组织风险评估服务能力申请组织风险评估服务能力 4 7 信息安全风险评估服务过程要求信息安全风险评估服务过程要求 5 7 1准备阶段 5 7 2识别阶段 5 7 3分析阶段 5 7 4处置阶段 6 申请组织声明申请组织声明 7 附表附表 1 8 附表附表 2 9 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 1 页 填表须知填表须知 申请组织在正式填写本申请书前 须认真阅读并理解以下内容 1 申请组织应仔细阅读 ISO IEC 27005 2008 信息技术 安全技术 信息安全 风险评估管理 GB T 20984 2007 信息安全技术 信息安全风险评估规范 YD T 2252 2011 网络与信息安全风险评估服务能力评估方法 并按照其 要求如实 详细地填写本申请书所有内容 2 申请组织应按照本申请书规定格式进行填写 若表格空间不够 可另加附页 3 申请组织须提交 信息安全风险评估服务资质认证申请书 含附件及证明 材料 纸版一份 要求盖章的地方 必须加盖公章 同时提交一份对应的电 子文档 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 2 页 申请申请信息信息 1 申请组织的性质 A 类 不含外资背景 B 类 外资背景 2 申请类型 初次认证 再认证 变更认证 3 申请服务资质级别 一级 二级 三级 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 3 页 1 申请组织基本情况申请组织基本情况 申请组织全称 中文 申请组织全称 英文 法定代表人姓名 职务 联系人姓名 职务 地址 邮政编码 电子邮箱 网址 联系方式 电话 传真 手机 本项还需提交以下资料 1 申请组织的营业执照 副本或上级主管部门批准成立的文件复印件 2 法人机构代码证或副本的复印件 3 从事信息安全风险评估服务的相关资质证书复印件 4 符合国家保密管理部门要求的证明材料 5 提供近两年的资产运营情况 财务审计报告 如有财务亏损或其他异常状况发生 并提供相应的证明材料 6 申请组织的固定办公场所证明材料 7 申请组织部门职能 包括与信息安全风险评估服务相关的管理 研发 安全服务实 施 质量保证 客户服务 人力资源管理与培训 合同管理等部门的职能描述 2 申请组织业绩要求申请组织业绩要求 本项应包括以下内容 组织近三年内完成的风险评估项目规模 数量等方面证明符合相关资质级别要求的全 部项目案例列表并注明完成状况 对于已完成的项目提供合同复印件及完成的证明材料 3 申请组织从事信息安全风险评估服务的人员情况申请组织从事信息安全风险评估服务的人员情况 本项应包括以下内容 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 4 页 1 信息安全风险评估服务相关人员汇总表 附表 1 2 组织负责人情况 附表 2 3 技术负责人情况 附表 2 4 风险评估服务负责人情况 附表 2 5 质量管理负责人情况 附表 2 6 主要信息安全风险评估服务人员情况 附表 2 7 注册安全认证人员的证书复印件 8 主要服务人员的任职 学历 职称 业绩证明材料复印件 9 信息安全风险评估服务人员签订的保密协议复印件 4 申请组织管理情况申请组织管理情况 本项应包括以下内容 1 确保客户信息安全 可控的管理规定 2 人员保密管理要求 保密岗位与职责 对服务人员进行保密教育与培训的计划及 落实情况 3 人员管理规定 包括人员在任用之前 任用中 任用的终止或变更的管理要求及 对服务人员的风险评估技能培训计划及落实情况 4 服务项目的管理制度 风险评估项目计划及监督检查情况 5 项目风险管理要求 一 二级资质要求 及落实情况 6 服务质量持续改进制度及落实情况 一 二级资质要求 7 信息安全管理体系建设情况的证明材料 一级资质要求 5 申请组织设备 设施与环境情况申请组织设备 设施与环境情况 本项应包括以下内容 1 风险评估服务需要的主要检测工具清单 2 自开发的风险评估工具列表及功能描述 3 独立的测试与实验环境介绍及必要的软 硬件设备清单 6 申请组织风险评估服务能力申请组织风险评估服务能力 本项应包括以下内容 1 风险分析模型 风险计算方法的证明材料 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 5 页 2 风险评估工作流程 3 风险评估操作规范 包括资产识别 威胁评估 脆弱性评估 已有安全措施确认 在内的规范文档 4 风险评估方案模板 5 风险评估报告模板 6 挖掘安全漏洞的证明材料 一 二级要求 7 信息安全风险评估服务过程要求信息安全风险评估服务过程要求 提供已完成的信息安全风险评估项目案例 以证明其服务过程能力 7 17 1准备阶段准备阶段 本项应包括以下内容 1 需求调研报告 2 服务合同 保密协议 3 服务方案 4 配备的人员和工具 7 27 2识别阶段识别阶段 本项应提供风险识别材料 内容包括但不限于 1 资产识别 2 威胁识别 3 脆弱性识别 4 已有安全措施确认等 7 37 3分析阶段分析阶段 本项应提供风险评估包括 包括以下内容 1 风险分析模型 2 风险计算方法 3 风险分析与评价 7 47 4处置阶段处置阶段 本项应包括以下内容 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 6 页 1 处置原则 2 安全整改建议 3 组织评审会 4 评审意见 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 7 页 申请组织声明申请组织声明 我组织正式提出信息安全风险评估服务资质认证申请 承诺申 请书中所提供的信息属实 遵守 中华人民共和国认证认可条例 及相关法规 按照中国信息安全认证中心的有关程序和规范要求 接受认证审核及证后监督 遵守认证证书 认证标志使用和公告的 规定 并及时缴纳信息安全风险评估服务资质认证相关费用 法定代表人 签名 申请组织 盖章 年 月 日 信息安全风险评估服务资质认证申请书 中国信息安全认证中心 第 8 页 附表 1 申请组织信息安全风险评估服务相关人员汇总表申请组织信息安全风险评估服务相关人员汇总表 序号序号部门部门姓名姓名身份证号身份证号学历学历 职称职称专业专业毕业时间毕业时间从事岗位从事岗位技术特长技术特长 1 2 3 4 5 6 7 8 9 10 11 12 13 14 总总 人人 数数风险评估服务人员数目占组织总人数比例风险评估服务人员数目占组织总人数比例 信息安全风险评估服务资质认证申请书 中国信息安