信息安全服務(wù)資質(zhì)申請書(安全開發(fā)類一級)

中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請書（安全開發(fā)類一級）發(fā)布日期：2011年1月1日第年1月1日

目錄填表須知 3申請表 4一、 申請單位基本情況 5二、 申請單位概況 6三、 申請單位近三年資產(chǎn)運營情況 7四、 申請單位人員情況 8五、 申請單位技術(shù)能力基本情況 8六、 申請單位安全開發(fā)過程能力 86.1 安全意識和安全教育 86.2 啟動安全開發(fā)過程 86.3 產(chǎn)品風(fēng)險評估和分析 86.4 定義安全設(shè)計原則 86.5 提供安全文檔和安全配置工具 86.6 進(jìn)行安全編碼 86.7 進(jìn)行安全測試 86.8 安全最終評審與產(chǎn)品發(fā)布 86.9 安全響應(yīng)服務(wù) 8七、 申請單位的項目和組織過程能力 87.1 實現(xiàn)質(zhì)量保證的能力 87.2 實現(xiàn)配置管理的能力 87.3 管理項目風(fēng)險的能力 87.4 規(guī)劃項目技術(shù)活動的能力 87.5 監(jiān)控技術(shù)活動的能力 87.6 提供不斷發(fā)展的知識和技能的能力 87.7 與供應(yīng)商協(xié)調(diào)的能力 8八、 申請單位安全服務(wù)項目匯總 8九、 申請單位獲獎、資格授權(quán)情況 8十、 申請單位在安全開發(fā)服務(wù)方面的發(fā)展規(guī)劃 8十一、 申請單位其他說明情況 8十二、 申請單位附加信息 8申請單位聲明 8

填表須知用戶在正式填寫本申請書前，須認(rèn)真閱讀并理解以下內(nèi)容：中國信息安全測評中心對下列對象進(jìn)行測評：信息技術(shù)產(chǎn)品信息系統(tǒng)提供信息安全服務(wù)的組織和單位信息安全專業(yè)人員申請單位應(yīng)仔細(xì)閱讀《信息安全服務(wù)資質(zhì)申請指南（安全開發(fā)類一級）》，并按照其要求如實、詳細(xì)地填寫本申請書所有項目。申請單位應(yīng)按照申請書原有格式進(jìn)行填寫。如填寫內(nèi)容較多，可另加附頁。提交申請書之前，請仔細(xì)查驗申請書填寫是否有誤，須提供的附件以及證明材料是否完整。申請單位須提交本申請書（含附件及證明材料）紙版一份，要求蓋章的地方，必須加蓋公章，同時提交一份對應(yīng)的電子文檔。本申請書要求提供的附件及證明材料須單獨裝訂成冊并編目。提供的資料須客觀、真實和完整，不要編輯、修改和摘錄，但可以進(jìn)行脫密處理。如有疑問，請與中國信息安全測評中心聯(lián)系。中國信息安全測評中心地址：北京市海淀區(qū)上地西路8號院1號樓郵編：100085電話：（010）82341188或82341118傳真：82341100網(wǎng)址：電子郵箱：cnitsec@申請表中國信息安全測評中心：我單位正式提出信息安全服務(wù)資質(zhì)申請，并保證將按照信息安全服務(wù)資質(zhì)的要求，提供所需的所有真實信息，并配合資質(zhì)審核活動。1．申請服務(wù)類型□A類（不具有外資背景）□B類（具有外資背景）2．申請服務(wù)內(nèi)容□安全開發(fā)（信息技術(shù)產(chǎn)品開發(fā)、信息系統(tǒng)應(yīng)用模塊開發(fā)等）3．申請類型□初次申請□再次申請，第次申請□級別變更（原資質(zhì)級別：□一級□二級□三級□四級□五級）注意：除第二項外其余各項均為單選。申請單位（蓋章）：申請日期：年月日

申請單位基本情況申請單位全稱（中文）：申請單位全稱（英文）：注冊地址：辦公地址：郵政編碼法定代表人姓名：職務(wù)：聯(lián)系人姓名：職務(wù)：電子郵箱：聯(lián)系方式：電話（）傳真（）手機（）工商登記注冊號（附申請單位法人營業(yè)執(zhí)照副本或上級主管部門批準(zhǔn)成立文件復(fù)印件）：法人機構(gòu)代碼（附法人機構(gòu)代碼證副本復(fù)印件）：以獲的國家信息安全服務(wù)資質(zhì)證書號碼（附資質(zhì)證書復(fù)印件）：其他重要的法律文件：

申請單位概況本項應(yīng)包括以下內(nèi)容：描述單位基本情況（包括單位規(guī)模大小、隸屬關(guān)系、發(fā)展歷史、業(yè)務(wù)結(jié)構(gòu)、業(yè)績等）；申請單位組織結(jié)構(gòu)圖；申請單位部門職能文字描述（包括與信息技術(shù)開發(fā)活動有關(guān)的日常管理、技術(shù)研發(fā)、質(zhì)量保證、客戶服務(wù)、人力資源管理與培訓(xùn)、合同管理等）。

申請單位近三年資產(chǎn)運營情況本項應(yīng)包括以下內(nèi)容：申請單位近三年資產(chǎn)運營情況（加蓋公章）（表3－1）；近三年審計報告與信用等級證明材料（若無審計報告請?zhí)峁┘由w公章的資產(chǎn)負(fù)債表和損益表）；財務(wù)虧損或其它異常狀況發(fā)生請?zhí)峁┳C明材料。申請單位近三年資產(chǎn)運營情況表表3－1單位：萬元人民幣近三年資產(chǎn)負(fù)債表年年年年年年近三年損益表年申請單位人員情況本項應(yīng)包括以下內(nèi)容：申請單位負(fù)責(zé)人情況（表4－1）；申請單位技術(shù)負(fù)責(zé)人情況（表4－2）；申請單位開發(fā)負(fù)責(zé)人情況（表4－3）；以上人員的任職、學(xué)歷、職稱、業(yè)績證明材料復(fù)印件；開發(fā)技術(shù)人員名單（表4－4）；開發(fā)測試人員名單（表4－5）；提供已有CISP（CISE或CISD）資格人員的CISP證書復(fù)印件。

申請單位負(fù)責(zé)人情況表表4－1姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專業(yè)信息技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）學(xué)習(xí)和工作簡歷業(yè)績

申請單位技術(shù)負(fù)責(zé)人情況表4－2姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專業(yè)信息技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）學(xué)習(xí)和工作簡歷業(yè)績

申請單位開發(fā)負(fù)責(zé)人情況表4－3姓名性別出生年月職務(wù)職稱學(xué)歷畢業(yè)時間畢業(yè)學(xué)校畢業(yè)專業(yè)信息技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）學(xué)習(xí)和工作簡歷業(yè)績開發(fā)技術(shù)人員基本情況表4－4序號部門名稱姓名身份證號畢業(yè)專業(yè)畢業(yè)時間學(xué)歷資格從事崗位技術(shù)特長備注開發(fā)技術(shù)人員數(shù)量占公司總?cè)藬?shù)比例開發(fā)測試人員基本情況表4－5序號部門名稱姓名身份證號畢業(yè)專業(yè)畢業(yè)時間學(xué)歷職稱從事崗位技術(shù)特長備注開發(fā)測試人員數(shù)量申請單位技術(shù)能力基本情況本項包括以下四項內(nèi)容：自主開發(fā)產(chǎn)品情況（表5－1）；工作環(huán)境設(shè)施情況（表5－2）；常用安全開發(fā)工具情況（表5－3）；開發(fā)測試（包括安全測試）環(huán)境情況（表5－4）安全服務(wù)網(wǎng)站情況（表5－5）。申請單位技術(shù)能力基本情況表表5－1自主開發(fā)產(chǎn)品情況產(chǎn)品名稱產(chǎn)品概述產(chǎn)品功能和特點產(chǎn)品認(rèn)證情況表5－2工作環(huán)境設(shè)施情況分類型號數(shù)量服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全設(shè)備其他表5－3常用安全開發(fā)工具序號名稱功能描述版本工具提供商或開發(fā)人員表5－4開發(fā)測試（包括安全測試）環(huán)境情況序號設(shè)備或工具名稱、型號、版本數(shù)量基本配置備注表5－5安全服務(wù)網(wǎng)站網(wǎng)址安全服務(wù)內(nèi)容更新頻率維護(hù)人數(shù)申請單位安全開發(fā)過程能力本項應(yīng)包括以下九項內(nèi)容：安全意識和安全教育；啟動安全開發(fā)過程；產(chǎn)品風(fēng)險評估和分析；定義安全設(shè)計原則；提供安全文檔和安全配置工具；進(jìn)行安全編碼；進(jìn)行安全測試；安全最終評審與產(chǎn)品發(fā)布；安全響應(yīng)服務(wù)。

安全意識和安全教育本項要求：詳細(xì)描述申請單位是如何提高開發(fā)團(tuán)隊在開發(fā)過程中的安全意識并進(jìn)行安全教育的；提供一份具體開發(fā)項目相應(yīng)的安全培訓(xùn)或安全教育文檔、記錄。

表6－1描述如何提高開發(fā)團(tuán)隊的安全意識并進(jìn)行安全教育的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

啟動安全開發(fā)過程本項要求：詳細(xì)描述申請單位是如何啟動安全開發(fā)過程的；提供一份具體開發(fā)項目的安全開發(fā)過程規(guī)劃文檔或記錄等。

表6－2描述如何啟動安全開發(fā)過程的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

產(chǎn)品風(fēng)險評估和分析本項要求：詳細(xì)描述申請單位是如何進(jìn)行產(chǎn)品風(fēng)險評估和分析的；提供一份具體開發(fā)項目中產(chǎn)品風(fēng)險評估和分析過程文檔或記錄等。

表6－3描述如何進(jìn)行產(chǎn)品風(fēng)險評估和分析的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

定義安全設(shè)計原則本項要求：詳細(xì)描述申請單位是如何定義開發(fā)過程的安全設(shè)計原則的；提供一份具體開發(fā)項目的定義安全設(shè)計原則有關(guān)文檔或記錄等。

表6－4描述如何進(jìn)行產(chǎn)品的安全設(shè)計的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

提供安全文檔和安全配置工具本項要求：詳細(xì)描述申請單位是如何創(chuàng)建安全文檔和開發(fā)安全配置工具的；提供一份具體開發(fā)項目創(chuàng)建的安全文檔或安全配置工具開發(fā)文檔或記錄等。

表6－5描述如何創(chuàng)建安全文檔和開發(fā)安全配置工具的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

進(jìn)行安全編碼本項要求：詳細(xì)描述申請單位是如何進(jìn)行安全編碼的；提供一份具體開發(fā)項目的安全編碼有關(guān)過程文檔或記錄等。

表6－6描述如何進(jìn)行安全編碼的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

進(jìn)行安全測試本項要求：詳細(xì)描述申請單位是如何進(jìn)行安全測試的；提供一份具體開發(fā)項目的安全測試有關(guān)文檔或記錄等。

表6－7描述如何進(jìn)行安全測試的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

安全最終評審與產(chǎn)品發(fā)布本項要求：詳細(xì)描述申請單位是如何進(jìn)行安全最終評審和發(fā)布產(chǎn)品的；提供一份具體開發(fā)項目的安全最終評審和發(fā)布產(chǎn)品有關(guān)文檔或記錄的等。

表6－8描述如何進(jìn)行安全最終評審和發(fā)布產(chǎn)品的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

安全響應(yīng)服務(wù)本項要求：詳細(xì)描述申請單位是如何開展產(chǎn)品安全響應(yīng)服務(wù)的；提供一份具體開發(fā)項目產(chǎn)品安全響應(yīng)服務(wù)的相應(yīng)文檔、記錄等。

表6－9描述如何開展產(chǎn)品安全響應(yīng)服務(wù)的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

申請單位的項目和組織過程能力本項應(yīng)包括以下八項內(nèi)容：實現(xiàn)質(zhì)量保證的能力；實現(xiàn)管理配置的能力；管理項目風(fēng)險的能力；規(guī)劃技術(shù)活動的能力；監(jiān)控技術(shù)活動的能力；提供不斷發(fā)展的知識和技能的能力；與供應(yīng)商協(xié)調(diào)的能力。

實現(xiàn)質(zhì)量保證的能力本項要求：詳細(xì)描述組織是如何實現(xiàn)質(zhì)量保證的；提供組織實現(xiàn)質(zhì)量保證的相應(yīng)文檔、記錄。

表7－1描述如何實現(xiàn)質(zhì)量保證的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

實現(xiàn)配置管理的能力本項要求：詳細(xì)描述組織是如何進(jìn)行管理配置的，包括維持已標(biāo)識的配置單元的數(shù)據(jù)和狀況，并對系統(tǒng)及其配置單元的變化進(jìn)行分析和控制；提供對整個系統(tǒng)進(jìn)行管理配置的相應(yīng)文檔、記錄。

表7－2描述如何對整個系統(tǒng)進(jìn)行配置管理的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。管理項目風(fēng)險的能力本項要求：詳細(xì)描述組織是如何管理項目風(fēng)險的；提供管理項目風(fēng)險的相應(yīng)文檔、記錄。

表7－2描述如何管理項目風(fēng)險詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

規(guī)劃項目技術(shù)活動的能力本項要求：詳細(xì)描述組織是如何規(guī)劃技術(shù)活動的，包括關(guān)鍵資源的識別，項目費用估算，確定工程過程，定義項目接口，項目進(jìn)度計劃等活動；提供關(guān)于進(jìn)行規(guī)劃技術(shù)活動的相應(yīng)文檔、記錄。

表7－3描述如何規(guī)劃項目技術(shù)活動詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

監(jiān)控技術(shù)活動的能力本項要求：詳細(xì)描述組織是如何進(jìn)行監(jiān)控技術(shù)活動的，包括技術(shù)活動指導(dǎo)，項目資源的跟蹤，問題分析等；提供關(guān)于進(jìn)行監(jiān)控技術(shù)活動的相應(yīng)文檔、記錄。

表7－4描述如何監(jiān)控技術(shù)活動詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

提供不斷發(fā)展的知識和技能的能力本項要求：詳細(xì)描述組織是如何提供不斷發(fā)展的知識和技能的；提供關(guān)于提供不斷發(fā)展的知識和技能的相應(yīng)文檔、記錄。

表7－5描述如何提供不斷發(fā)展的知識和技能詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。

與供應(yīng)商協(xié)調(diào)的能力本項要求：詳細(xì)描述組織是如何與供應(yīng)商協(xié)調(diào)的；提供關(guān)于如何與供應(yīng)商協(xié)調(diào)的相應(yīng)文檔、記錄。

表7－6描述如何與供應(yīng)商協(xié)調(diào)的詳細(xì)描述備注注：請在“詳細(xì)描述”中進(jìn)行文字描述說明，在“備注”中注明附件名稱。申請單位安全開發(fā)項目匯總本項要求：按照表8－1格式詳細(xì)填寫，并加蓋單位公章；填寫最近兩個年度完成的安全開發(fā)項目（以合同或開發(fā)任務(wù)書簽訂時間為準(zhǔn)）；項目名稱請嚴(yán)格按照合同填寫；項目請務(wù)必按應(yīng)用領(lǐng)域或行業(yè)順序填寫；完成項目在“進(jìn)展情況”中注明，并將合計填入“完成的項目總金額”；提供項目承接合同（或任務(wù)書）的復(fù)印件。申請單位產(chǎn)品開發(fā)項目匯總表表8－1單