QOT-0450信息安全安全集成服務資質認證申請書解析

1、申請編號:信息系統(tǒng)安全集成服務資質認證申請書（第1版）ISCCC申請組織（蓋章）：申請日期：中國信息安全認證中心制中國信息安全認證中心第 I頁共I 頁信息系統(tǒng)安全集成服務資質認證申請書填表須知1.申請信息2.1 .申請組織基本情況3.2 . 申請組織業(yè)績要求3.3 .申請組織從事信息系統(tǒng)安全集成服務的人員情況 44 .申請組織管理情況4.5 .申請組織設備、設施與環(huán)境情況56 .申請組織信息系統(tǒng)安全集成服務能力 57 .信息系統(tǒng)安全集成服務過程要求67.1 集成準備階段6.7.2 方案設計階段6.7.3 建設實施階段7.7.4 安全保證階段7.申請組織聲明8.中國信息安全認證中心第I頁信息系統(tǒng)

2、安全集成服務資質認證申請書填表須知申請組織在正式填寫本申請書前，須認真閱讀并理解以下內容：1 .申請組織應仔細閱讀ISCCC-SV-003:2011信息系統(tǒng)安全集成服務資質認證 實施規(guī)則、GB/T 20261-2006信息技術系統(tǒng)安全工程 能力成熟度模型、ISO/IEC 21827:2008信息技術系統(tǒng)安全工程能力成熟度模型，并按照要 求如實、詳細地填寫本申請書所有內容。（由企業(yè)組織人員熟悉相關內容， 其 中涉及技術、管理、工程等方面的內容，要求相關人員組成一個專題工作組， 共同協(xié)調完成相關內容的學習）2 .申請組織應按照本申請書規(guī)定格式進行填寫。若表格空間不夠，可另加附頁。3 .申請組織須提

3、交信息系統(tǒng)安全集成服務資質認證申請書（含附件及證明材 料）紙版一份，要求蓋章的地方，必須加蓋公章，同時提交一份對應的電子 文檔。（需要提供的企業(yè)資信資料及各項證明資料，提供電子掃描文件）中國信息安全認證中心第8頁1.申請組織的性質口 A類（不含外資背景）口 B類（外資背景）2.申請類型口初次認證 再認證變更認證3.申請服務資質級別申請信息1.申請組織基本情況申請組織全稱（中文）：申請組織全稱（英文）： 法定代表人姓名：職務：聯(lián)系人姓名：職務：地址：郵政編碼：電子郵箱：網(wǎng)址：聯(lián)系方式：電話：傳真：手機：本項還需提交以下資料：1）申請單位的基本情況介紹；（主要闡述企業(yè)發(fā)展歷程、現(xiàn)狀、發(fā)展規(guī)劃）2）

4、申請組織的營業(yè)執(zhí)照/副本或上級主管部門批準成立的文件復印件；3）法人機構代碼證或副本的復印件；4）從事信息系統(tǒng)安全集成服務的相關資質證書復印件；（首次申請不提供，如果有其他機構提供的安全服務類相關資質，可提供參考）5）提供近兩年的資產(chǎn)運營情況，財務審計報告；如有財務虧損或其他異常狀況發(fā)生， 并提供相應的證明材料；（由第三方會計師事務所提供審計）6）申請組織的固定辦公場所證明材料；（提供租房協(xié)議或產(chǎn)權證書復印件）7）申請組織部門職能（包括與信息安全系統(tǒng)集成服務相關的管理、研發(fā)、安全服務實施、質量保證、客戶服務、人力資源管理與培訓、合同管理等部門的職能描述）。（提供組織機構視圖，并就視圖中各職能部

5、門的職責劃分進行描述）2 .申請組織業(yè)績要求本項應包括以下內容：符合相關資質等級要求的近三年內完成的信息系統(tǒng)安全集成項目案例，并形成列表（附表1）,對于已完成的項目提供合同復印件及完成的證明材料。（包括合同正本、附件及驗收報告，如果有第三方機構測評的報告，一并提交；安全產(chǎn)品如果經(jīng)第三測評機構測評，提交測評報告；涉及軍方的項目，如果屬于涉密期，需軍方出具涉密證明。）3 .申請組織從事信息系統(tǒng)安全集成服務的人員情況本項應包括以下內容:1）信息系統(tǒng)安全集成服務相關人員匯總表（附表 2）;（依據(jù)標準要求：三級 10人以上、二級20人以上、一級30人以上；具有計算機信息安全相關專業(yè)學歷背景或信息安全相關

6、項目上工作： ?？?年、本科2年、研究生以上學歷1年以上人員可視為信息安全集成服務人員）2）組織負責人情況（附表 3）;3）技術負責人情況（附表 3）;4）信息系統(tǒng)安全集成服務負責人情況（附表 3）;5）質量管理負責人情況（附表 3）;6）主要信息系統(tǒng)安全集成服務人員情況（附表 3）;（主要開發(fā)人員、工程負責人、項目經(jīng)理、系統(tǒng)設計人員、服務負責人員）7）注冊安全服務人員的證書復印件；（通過CISAW認證的人員，三級2名；二級6名;一級10名；）8）主要服務人員的任職、學歷、職稱、業(yè)績證明材料復印件；（由企業(yè)出具任職證明書，業(yè)績證明需要客戶提供證明；如果有相關獲獎證書，可提供）9）信息系統(tǒng)安全集

7、成服務人員簽訂的保密協(xié)議復印件。（與企業(yè)簽署的保密協(xié)議）4.申請組織管理情況本項應包括以下內容：1）確?？蛻粜畔踩?、可控的管理規(guī)定；（提供與企業(yè)簽署的保密承諾書；提供企業(yè)內部可控的管理規(guī)范及相關的程序文件，過程記錄文件）2）人員保密管理要求、 保密崗位與職責，對服務人員進行保密教育與培訓的計劃及落實情況；（提供與員工簽署的保密協(xié)議，保密培訓記錄、培訓計劃等。提供保密崗位職責）3）人員管理規(guī)定，包括人員在任用之前、 任用中、任用的終止或變更的管理要求及對服務人員的信息系統(tǒng)安全集成技能培訓計劃及落實情況；（提供涉及保密崗位的勞動協(xié)議，提供從事信息安全集成服務人員的相關技能資質，如：安全產(chǎn)品的技能

8、培 訓資質，技能教育記錄等證明文件）4）服務項目的管理制度，信息系統(tǒng)安全集成項目計劃及監(jiān)督檢查情況等；（提供服務管理體系或制度，提供服務體系或制度的執(zhí)行過程記錄。提供一典型信息安全集成項目的項目執(zhí)行計劃，提供該計劃執(zhí)行得過程記錄文件）5）安全集成服務實施過程中使用的文檔模板；（參照ISO/IEC27001 : 2005,提供項目中已經(jīng)使用的文檔模板）6）項目風險管理要求及在項目實施過程中的落實情況；（提供風險管理程序文件，提供風險管理過程記錄文件）7）服務質量持續(xù)改進制度及落實情況（一、二級資質要求）；（提供服務項目實施中持續(xù)改進制度，并就項目開展過程中持續(xù)改進過程記錄提供相關文件，持續(xù)改進結

9、果需得到用戶認可。）8） 參考GB/T 22080-2008/ISO/IEC 27001:2005 信息技術 安全技術 信息安全管理體 系要求標準建立信息安全管理體系并運行三個月以上（一級資質要求）。（提供參照ISO/IEC27001 : 2005建立的質量手冊及對應的程序文件，并提供執(zhí)行過程記 錄）5 .申請組織設備、設施與環(huán)境情況本項應包括以下內容：1）信息系統(tǒng)安全集成服務需要的主要檢測工具清單；（提供清單，并就清單涉及的項目應用情況進行簡單描述。）2）具備獨立的測試與實驗環(huán)境介紹及必要的軟、硬件設備清單。（提供軟硬件清單，并就獨立測試與實驗環(huán)境簡要描述）6 .申請組織信息系統(tǒng)安全集成服務

10、能力本項應包括以下內容：1）安全集成的工作流程及操作規(guī)范；（提供針對典型安全集成項目的工作流程及操作規(guī)范，提供一個典型安全集成項目的過程執(zhí)行記錄。）2）根據(jù)服務業(yè)務的需求具備開發(fā)信息安全產(chǎn)品或支持性工具的能力證明材料（一、二級要求）；（提供一項信息安全產(chǎn)品或支持性工具的現(xiàn)場演示環(huán)境，并提供1個典型信息安全產(chǎn)品或支持性工具的全套項目文件，包括：需求采集、需求規(guī)格說明、 系統(tǒng)設計、測試記錄、應用集成、用戶測試、功能測試、壓力測試、用戶手冊、安裝手冊、專家測評、驗收報告等文件）3）對市場上的信息安全產(chǎn)品進行功能分析、提出安全策略及對安全產(chǎn)品進行集成的能力（一級要求）；（提供針對具體安全集成項目中市場

11、上的信息安全產(chǎn)品集成方案 的使用報告；提供安全集成需求分析報告，從中可以清晰看出市場上安全產(chǎn)品的集 成應用；提供針對主流安全產(chǎn)品的人員資質培訓計相關的技能認證證明。）4）經(jīng)國家（或行業(yè)）權威機構或專家組驗證一個已完成的信息系統(tǒng)的安全性的證明材 料（一級要求）。（公安部：計算機信息系統(tǒng)專用產(chǎn)品檢測；國安：中國信息安全 測評中測評通過；行業(yè)：政府、電信、移動、金融、電力、石油、鐵道等行業(yè)的典 型應用證明材料，如果涉及軍方涉密，則需軍方提供證明材料。）7.信息系統(tǒng)安全集成服務過程要求按照ISCCC-SV-003:2011信息系統(tǒng)安全集成服務資質認證實施規(guī)則及相關標準對服務過程的具體要求，結合一個已完

12、成的信息系統(tǒng)安全集成服務項目案例，提供以下材料以證明其服務過程能力：（準備一套典型安全集成項目的全部資料）7.1 集成準備階段本項應包括以下內容：1）信息系統(tǒng)安全集成的需求報告；（需求采集、需求分析、需求設計、需求規(guī)格說明等文件）2）服務合同（與客戶、供方分別簽訂）；（包括：合同正本、附件）3）保密協(xié)議（與客戶、供方分別簽訂）；（提供保密協(xié)議）4）服務人員與工具。（典型項目的工程實施計劃中，可清晰了結人員配置及工具配置）7.2 方案設計階段本項應提供內容：1）根據(jù)信息系統(tǒng)的安全需求，進行信息安全設計的證明材料；（提供典型項目系統(tǒng)總體設計報告）2）信息系統(tǒng)安全集成方案的證明材料。（提供執(zhí)行合同標

13、的描述的內容或附件中客戶認同的安全集成方案；或針對具體安全集成解決方案的技術文檔）7.3 建設實施階段本項應提供以下內容：1）根據(jù)系統(tǒng)安全集成要求，開發(fā)或定制產(chǎn)品（僅一、二級要求）的證明材料；（提供演示環(huán)境或相關權威機構的測評報告，或技術設計及開發(fā)的相關資料文檔）2）管理安全控制的證明材料；（提供安全管理規(guī)范；安全管理過程記錄、系統(tǒng)使用手冊、安全事故報告及處理流程、安全巡檢等證明材料）3）安全協(xié)調的證明材料；（安全需求變更報告，安全加固報告、工程進度報告、用戶測試報告等）4）安全監(jiān)控的證明材料。（提供安全巡檢，安全漏洞分析，安全事故分析、風險防范、 安全應急預案等監(jiān)控證明材料）7.4 安全保證

14、階段本項應包括以下內容：1）提供信息系統(tǒng)安全集成服務報告；（售后服務體系保障措施及其規(guī)范；安全巡檢規(guī)范；系統(tǒng)升級保障；應急預案；安全事故處理流程等）2）對安全集成已完成的系統(tǒng)進行檢測和驗證的證明材料；（用戶使用報告；用戶驗收報告；安全故障排除報告等證明材料）3）提供第三方證明系統(tǒng)安全的證據(jù)。（權威機構測評；專家測評；用戶測評；使用報告；驗收報告等）申請組織聲明我組織正式提出信息系統(tǒng)安全集成服務資質認證申請， 承諾申請 書中所提供的信息屬實，遵守中華人民共和國認證認可條例及相 關法規(guī)，按照中國信息安全認證中心的有關程序和規(guī)范要求，接受認證審核及證后監(jiān)督，遵守認證證書、認證標志使用和公告的規(guī)定，并 及時繳納信息系統(tǒng)安全集成服務資質認證相關費用。法定代表人（簽名）：申請組織（蓋章）：年 月 日信息系統(tǒng)安全集成服務資質認證申請書附表1申請組織信息系統(tǒng)安全集成服務項目匯總表序號項目名稱合同金額軟件購置 費用硬件購置 費用開發(fā)與服 務費用其他合同簽訂時間項目