QOT-0450信息安全安全集成服務(wù)資質(zhì)認(rèn)證申請書解析

1、申請編號:信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書（第1版）ISCCC申請組織（蓋章）：申請日期：中國信息安全認(rèn)證中心制中國信息安全認(rèn)證中心第 I頁共I 頁信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書填表須知1.申請信息2.1 .申請組織基本情況3.2 . 申請組織業(yè)績要求3.3 .申請組織從事信息系統(tǒng)安全集成服務(wù)的人員情況 44 .申請組織管理情況4.5 .申請組織設(shè)備、設(shè)施與環(huán)境情況56 .申請組織信息系統(tǒng)安全集成服務(wù)能力 57 .信息系統(tǒng)安全集成服務(wù)過程要求67.1 集成準(zhǔn)備階段6.7.2 方案設(shè)計階段6.7.3 建設(shè)實(shí)施階段7.7.4 安全保證階段7.申請組織聲明8.中國信息安全認(rèn)證中心第I頁信息系統(tǒng)

2、安全集成服務(wù)資質(zhì)認(rèn)證申請書填表須知申請組織在正式填寫本申請書前，須認(rèn)真閱讀并理解以下內(nèi)容：1 .申請組織應(yīng)仔細(xì)閱讀ISCCC-SV-003:2011信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證 實(shí)施規(guī)則、GB/T 20261-2006信息技術(shù)系統(tǒng)安全工程 能力成熟度模型、ISO/IEC 21827:2008信息技術(shù)系統(tǒng)安全工程能力成熟度模型，并按照要 求如實(shí)、詳細(xì)地填寫本申請書所有內(nèi)容。（由企業(yè)組織人員熟悉相關(guān)內(nèi)容， 其 中涉及技術(shù)、管理、工程等方面的內(nèi)容，要求相關(guān)人員組成一個專題工作組， 共同協(xié)調(diào)完成相關(guān)內(nèi)容的學(xué)習(xí)）2 .申請組織應(yīng)按照本申請書規(guī)定格式進(jìn)行填寫。若表格空間不夠，可另加附頁。3 .申請組織須提

3、交信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書（含附件及證明材 料）紙版一份，要求蓋章的地方，必須加蓋公章，同時提交一份對應(yīng)的電子 文檔。（需要提供的企業(yè)資信資料及各項證明資料，提供電子掃描文件）中國信息安全認(rèn)證中心第8頁1.申請組織的性質(zhì)口 A類（不含外資背景）口 B類（外資背景）2.申請類型口初次認(rèn)證 再認(rèn)證變更認(rèn)證3.申請服務(wù)資質(zhì)級別申請信息1.申請組織基本情況申請組織全稱（中文）：申請組織全稱（英文）： 法定代表人姓名：職務(wù)：聯(lián)系人姓名：職務(wù)：地址：郵政編碼：電子郵箱：網(wǎng)址：聯(lián)系方式：電話：傳真：手機(jī)：本項還需提交以下資料：1）申請單位的基本情況介紹；（主要闡述企業(yè)發(fā)展歷程、現(xiàn)狀、發(fā)展規(guī)劃）2）

4、申請組織的營業(yè)執(zhí)照/副本或上級主管部門批準(zhǔn)成立的文件復(fù)印件；3）法人機(jī)構(gòu)代碼證或副本的復(fù)印件；4）從事信息系統(tǒng)安全集成服務(wù)的相關(guān)資質(zhì)證書復(fù)印件；（首次申請不提供，如果有其他機(jī)構(gòu)提供的安全服務(wù)類相關(guān)資質(zhì)，可提供參考）5）提供近兩年的資產(chǎn)運(yùn)營情況，財務(wù)審計報告；如有財務(wù)虧損或其他異常狀況發(fā)生， 并提供相應(yīng)的證明材料；（由第三方會計師事務(wù)所提供審計）6）申請組織的固定辦公場所證明材料；（提供租房協(xié)議或產(chǎn)權(quán)證書復(fù)印件）7）申請組織部門職能（包括與信息安全系統(tǒng)集成服務(wù)相關(guān)的管理、研發(fā)、安全服務(wù)實(shí)施、質(zhì)量保證、客戶服務(wù)、人力資源管理與培訓(xùn)、合同管理等部門的職能描述）。（提供組織機(jī)構(gòu)視圖，并就視圖中各職能部

5、門的職責(zé)劃分進(jìn)行描述）2 .申請組織業(yè)績要求本項應(yīng)包括以下內(nèi)容：符合相關(guān)資質(zhì)等級要求的近三年內(nèi)完成的信息系統(tǒng)安全集成項目案例，并形成列表（附表1）,對于已完成的項目提供合同復(fù)印件及完成的證明材料。（包括合同正本、附件及驗(yàn)收報告，如果有第三方機(jī)構(gòu)測評的報告，一并提交；安全產(chǎn)品如果經(jīng)第三測評機(jī)構(gòu)測評，提交測評報告；涉及軍方的項目，如果屬于涉密期，需軍方出具涉密證明。）3 .申請組織從事信息系統(tǒng)安全集成服務(wù)的人員情況本項應(yīng)包括以下內(nèi)容:1）信息系統(tǒng)安全集成服務(wù)相關(guān)人員匯總表（附表 2）;（依據(jù)標(biāo)準(zhǔn)要求：三級 10人以上、二級20人以上、一級30人以上；具有計算機(jī)信息安全相關(guān)專業(yè)學(xué)歷背景或信息安全相關(guān)

6、項目上工作： ?？?年、本科2年、研究生以上學(xué)歷1年以上人員可視為信息安全集成服務(wù)人員）2）組織負(fù)責(zé)人情況（附表 3）;3）技術(shù)負(fù)責(zé)人情況（附表 3）;4）信息系統(tǒng)安全集成服務(wù)負(fù)責(zé)人情況（附表 3）;5）質(zhì)量管理負(fù)責(zé)人情況（附表 3）;6）主要信息系統(tǒng)安全集成服務(wù)人員情況（附表 3）;（主要開發(fā)人員、工程負(fù)責(zé)人、項目經(jīng)理、系統(tǒng)設(shè)計人員、服務(wù)負(fù)責(zé)人員）7）注冊安全服務(wù)人員的證書復(fù)印件；（通過CISAW認(rèn)證的人員，三級2名；二級6名;一級10名；）8）主要服務(wù)人員的任職、學(xué)歷、職稱、業(yè)績證明材料復(fù)印件；（由企業(yè)出具任職證明書，業(yè)績證明需要客戶提供證明；如果有相關(guān)獲獎證書，可提供）9）信息系統(tǒng)安全集

7、成服務(wù)人員簽訂的保密協(xié)議復(fù)印件。（與企業(yè)簽署的保密協(xié)議）4.申請組織管理情況本項應(yīng)包括以下內(nèi)容：1）確?？蛻粜畔踩⒖煽氐墓芾硪?guī)定；（提供與企業(yè)簽署的保密承諾書；提供企業(yè)內(nèi)部可控的管理規(guī)范及相關(guān)的程序文件，過程記錄文件）2）人員保密管理要求、 保密崗位與職責(zé)，對服務(wù)人員進(jìn)行保密教育與培訓(xùn)的計劃及落實(shí)情況；（提供與員工簽署的保密協(xié)議，保密培訓(xùn)記錄、培訓(xùn)計劃等。提供保密崗位職責(zé)）3）人員管理規(guī)定，包括人員在任用之前、 任用中、任用的終止或變更的管理要求及對服務(wù)人員的信息系統(tǒng)安全集成技能培訓(xùn)計劃及落實(shí)情況；（提供涉及保密崗位的勞動協(xié)議，提供從事信息安全集成服務(wù)人員的相關(guān)技能資質(zhì)，如：安全產(chǎn)品的技能

8、培 訓(xùn)資質(zhì)，技能教育記錄等證明文件）4）服務(wù)項目的管理制度，信息系統(tǒng)安全集成項目計劃及監(jiān)督檢查情況等；（提供服務(wù)管理體系或制度，提供服務(wù)體系或制度的執(zhí)行過程記錄。提供一典型信息安全集成項目的項目執(zhí)行計劃，提供該計劃執(zhí)行得過程記錄文件）5）安全集成服務(wù)實(shí)施過程中使用的文檔模板；（參照ISO/IEC27001 : 2005,提供項目中已經(jīng)使用的文檔模板）6）項目風(fēng)險管理要求及在項目實(shí)施過程中的落實(shí)情況；（提供風(fēng)險管理程序文件，提供風(fēng)險管理過程記錄文件）7）服務(wù)質(zhì)量持續(xù)改進(jìn)制度及落實(shí)情況（一、二級資質(zhì)要求）；（提供服務(wù)項目實(shí)施中持續(xù)改進(jìn)制度，并就項目開展過程中持續(xù)改進(jìn)過程記錄提供相關(guān)文件，持續(xù)改進(jìn)結(jié)

9、果需得到用戶認(rèn)可。）8） 參考GB/T 22080-2008/ISO/IEC 27001:2005 信息技術(shù) 安全技術(shù) 信息安全管理體 系要求標(biāo)準(zhǔn)建立信息安全管理體系并運(yùn)行三個月以上（一級資質(zhì)要求）。（提供參照ISO/IEC27001 : 2005建立的質(zhì)量手冊及對應(yīng)的程序文件，并提供執(zhí)行過程記 錄）5 .申請組織設(shè)備、設(shè)施與環(huán)境情況本項應(yīng)包括以下內(nèi)容：1）信息系統(tǒng)安全集成服務(wù)需要的主要檢測工具清單；（提供清單，并就清單涉及的項目應(yīng)用情況進(jìn)行簡單描述。）2）具備獨(dú)立的測試與實(shí)驗(yàn)環(huán)境介紹及必要的軟、硬件設(shè)備清單。（提供軟硬件清單，并就獨(dú)立測試與實(shí)驗(yàn)環(huán)境簡要描述）6 .申請組織信息系統(tǒng)安全集成服務(wù)

10、能力本項應(yīng)包括以下內(nèi)容：1）安全集成的工作流程及操作規(guī)范；（提供針對典型安全集成項目的工作流程及操作規(guī)范，提供一個典型安全集成項目的過程執(zhí)行記錄。）2）根據(jù)服務(wù)業(yè)務(wù)的需求具備開發(fā)信息安全產(chǎn)品或支持性工具的能力證明材料（一、二級要求）；（提供一項信息安全產(chǎn)品或支持性工具的現(xiàn)場演示環(huán)境，并提供1個典型信息安全產(chǎn)品或支持性工具的全套項目文件，包括：需求采集、需求規(guī)格說明、 系統(tǒng)設(shè)計、測試記錄、應(yīng)用集成、用戶測試、功能測試、壓力測試、用戶手冊、安裝手冊、專家測評、驗(yàn)收報告等文件）3）對市場上的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略及對安全產(chǎn)品進(jìn)行集成的能力（一級要求）；（提供針對具體安全集成項目中市場

11、上的信息安全產(chǎn)品集成方案 的使用報告；提供安全集成需求分析報告，從中可以清晰看出市場上安全產(chǎn)品的集 成應(yīng)用；提供針對主流安全產(chǎn)品的人員資質(zhì)培訓(xùn)計相關(guān)的技能認(rèn)證證明。）4）經(jīng)國家（或行業(yè)）權(quán)威機(jī)構(gòu)或?qū)＜医M驗(yàn)證一個已完成的信息系統(tǒng)的安全性的證明材 料（一級要求）。（公安部：計算機(jī)信息系統(tǒng)專用產(chǎn)品檢測；國安：中國信息安全 測評中測評通過；行業(yè)：政府、電信、移動、金融、電力、石油、鐵道等行業(yè)的典 型應(yīng)用證明材料，如果涉及軍方涉密，則需軍方提供證明材料。）7.信息系統(tǒng)安全集成服務(wù)過程要求按照ISCCC-SV-003:2011信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則及相關(guān)標(biāo)準(zhǔn)對服務(wù)過程的具體要求，結(jié)合一個已完

12、成的信息系統(tǒng)安全集成服務(wù)項目案例，提供以下材料以證明其服務(wù)過程能力：（準(zhǔn)備一套典型安全集成項目的全部資料）7.1 集成準(zhǔn)備階段本項應(yīng)包括以下內(nèi)容：1）信息系統(tǒng)安全集成的需求報告；（需求采集、需求分析、需求設(shè)計、需求規(guī)格說明等文件）2）服務(wù)合同（與客戶、供方分別簽訂）；（包括：合同正本、附件）3）保密協(xié)議（與客戶、供方分別簽訂）；（提供保密協(xié)議）4）服務(wù)人員與工具。（典型項目的工程實(shí)施計劃中，可清晰了結(jié)人員配置及工具配置）7.2 方案設(shè)計階段本項應(yīng)提供內(nèi)容：1）根據(jù)信息系統(tǒng)的安全需求，進(jìn)行信息安全設(shè)計的證明材料；（提供典型項目系統(tǒng)總體設(shè)計報告）2）信息系統(tǒng)安全集成方案的證明材料。（提供執(zhí)行合同標(biāo)

13、的描述的內(nèi)容或附件中客戶認(rèn)同的安全集成方案；或針對具體安全集成解決方案的技術(shù)文檔）7.3 建設(shè)實(shí)施階段本項應(yīng)提供以下內(nèi)容：1）根據(jù)系統(tǒng)安全集成要求，開發(fā)或定制產(chǎn)品（僅一、二級要求）的證明材料；（提供演示環(huán)境或相關(guān)權(quán)威機(jī)構(gòu)的測評報告，或技術(shù)設(shè)計及開發(fā)的相關(guān)資料文檔）2）管理安全控制的證明材料；（提供安全管理規(guī)范；安全管理過程記錄、系統(tǒng)使用手冊、安全事故報告及處理流程、安全巡檢等證明材料）3）安全協(xié)調(diào)的證明材料；（安全需求變更報告，安全加固報告、工程進(jìn)度報告、用戶測試報告等）4）安全監(jiān)控的證明材料。（提供安全巡檢，安全漏洞分析，安全事故分析、風(fēng)險防范、 安全應(yīng)急預(yù)案等監(jiān)控證明材料）7.4 安全保證

14、階段本項應(yīng)包括以下內(nèi)容：1）提供信息系統(tǒng)安全集成服務(wù)報告；（售后服務(wù)體系保障措施及其規(guī)范；安全巡檢規(guī)范；系統(tǒng)升級保障；應(yīng)急預(yù)案；安全事故處理流程等）2）對安全集成已完成的系統(tǒng)進(jìn)行檢測和驗(yàn)證的證明材料；（用戶使用報告；用戶驗(yàn)收報告；安全故障排除報告等證明材料）3）提供第三方證明系統(tǒng)安全的證據(jù)。（權(quán)威機(jī)構(gòu)測評；專家測評；用戶測評；使用報告；驗(yàn)收報告等）申請組織聲明我組織正式提出信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請， 承諾申請 書中所提供的信息屬實(shí)，遵守中華人民共和國認(rèn)證認(rèn)可條例及相 關(guān)法規(guī)，按照中國信息安全認(rèn)證中心的有關(guān)程序和規(guī)范要求，接受認(rèn)證審核及證后監(jiān)督，遵守認(rèn)證證書、認(rèn)證標(biāo)志使用和公告的規(guī)定，并 及時繳納信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證相關(guān)費(fèi)用。法定代表人（簽名）：申請組織（蓋章）：年 月 日信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書附表1申請組織信息系統(tǒng)安全集成服務(wù)項目匯總表序號項目名稱合同金額軟件購置 費(fèi)用硬件購置 費(fèi)用開發(fā)與服 務(wù)費(fèi)用其他合同簽訂時間項目