QOT-0450信息安全安全集成服务资质认证申请书

1、申请编号:信息系统安全集成服务资质认证申请书（第1版）申请组织工SC CC申请日期：填表须知申请信息 1。申请组织基本情况4 申请组织业绩要求33。申请组织从事信息系统安全集成服务的人员情况3生 申请组织管理情况35。申请组织设备、设施与环境情况4«申请组织信息系统安全集成服务能力47o信息系统安全集成服务过程要求57o1集成准备阶段57。2方案设计阶段57o3建设实施阶段67。4安全保证阶段6申请组织声明6填表须知申请组织在正式填写本申请书前，须认真阅读并理解以下内容：1.申请组织应仔细阅读ISCCCSV003： 2011信息系统安全集成服务资质认 证实施规则、GB/T 20261

2、2006信息技术系统安全工程能力成熟度模 型、ISO/IEC 21827： 2008信息技术系统安全工程能力成熟度模型，并 按照要求如实、详细地填写本申请书所有内容。（由企业组织人员熟悉相关内 容，其中涉及技术、管理、工程等方面的内容，要求相关人员组成一个专题 工作组，共同协调完成相关内容的学习）2 .申请组织应按照本申请书规定格式进行填写.若表格空间不够，可另加附页。3 .申请组织须提交信息系统安全集成服务资质认证申请书（含附件及证明材 料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子 文档。（需要提供的企业资信资料及各项证明资料，提供电子扫描文件）申请信息1 .申请组织的

3、性质 A类（不含外资背景） B类（外资背景）2 .申请类型 初次认证 再认证 变更认证3 .申请服务资质级别 一级 二级 三级1.申请组织基本情况申请组织全称（中文）：申请组织全称（英文）：法定代表人姓名：职务：联系人姓名：职务：地址:邮政编码：电子邮箱:网址:联系方式：电话：传真：手机：本项还需提交以下资料：1）申请单位的基本情况介绍；（主要阐述企业发展历程、现状、发展规划）2）申请组织的营业执照/副本或上级主管部门批准成立的文件复印件；3）法人机构代码证或副本的复印件：1）从事信息系统安全集成服务的相关资质证书复印件;（首次申请不提供，如果有其他 机构提供的安全服务类相关资质,可提供参考）

4、5）提供近两年的资产运营情况,财务审计报告;如有财务亏损或其他异常状况发生，并 提供相应的证明材料：（由第三方会出师事务所提供审出）6）申请组织的固定办公场所证明材料；（提供租房协议或产权证书复印件）7）申请组织部门职能（包括与信息安全系统集成服务相关的管理、研发、安全服务实 施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述）。（提供组织机构视图,并就视图中各职能部门的职责划分进行描述）2 .申请组织业绩要求本项应包括以下内容：符合相关资质等级要求的近三年内完成的信息系统安全集成项目案例，并形成列表（附 表1）,对于已完成的项目提供合同复印件及完成的证明材料。（包括合同正本

5、、附件及验收报告，如果有第三方机构测评的报告，一并提交;安全产品 如果经第三测评机构测评，提交测评报告：涉及军方的项目，如果属于涉密期，需军方出具 涉密证明。）3 .申请组织从事信息系统安全集成服务的人员情况本项应包括以下内容：1）信息系统安全集成服务相关人员汇总表（附表2）；（依据标准要求：三级10人以 上、二级20人以上、一级30人以上；具有计算机信息安全相关专业学历背景或信 息安全相关项目上工作：专科4年、本科2年、研究生以上学历1年以上人员可视 为信息安全集成服务人员）2）组织负责人情况（附表3）;3）技术负责人情况（附表3）；4）信息系统安全集成服务负责人情况（附表3）：5）质量管理

6、负责人情况（附表3）：6）主要信息系统安全集成服务人员情况（附表3）;（主要开发人员、工程负责人、 项目经理、系统设计人员、服务负责人员）7）注册安全服务人员的证书复印件：（通过CISAW认证的人员，三级2名；二级6名; 一级10名：）8）主要服务人员的任职、学历、职称、业绩证明材料复印件：（由企业出具任职证明 书，业绩证明需要客户提供证明：如果有相关获奖证书，可提供）9）信息系统安全集成服务人员签订的保密协议复印件。（与企业签署的保密协议）4.申请组织管理情况本项应包括以下内容：1）确保客户信息安全、可控的管理规定；（提供与企业签署的保密承诺心提供企业内部可控的管理规范及相关的程序文件，过程

7、记录文件）2）人员保密管理要求、保密岗位与职责，对服务人员进行保密教育与培训的计划及落 实情况；（提供与员匚签署的保密协议，保密培训记录、培训计划等,提供保密岗 位职责）3）人员管理规定，包括人员在任用之前、任用中、任用的终止或变更的管理要求及对 服务人员的信息系统安全集成技能培训计划及落实情况：（提供涉及保密岗位的劳 动协议，提供从事信息安全集成服务人员的相关技能资质，如：安全产品的技能培 训资质，技能教育记录等证明文件）4）服务项目的管理制度，信息系统安全集成项目计划及监督检查情况等：（提供服务 管理体系或制度，提供服务体系或制度的执行过程记录.提供一典型信息安全集成 项目的项目执行计划，

8、提供该计划执行得过程记录文件）5）安全集成服务实施过程中使用的文档模板：（参照ISO/IEC27001:2005,提供项目中 已经使用的文档模板）6）项目风险管理要求及在项目实施过程中的落实情况：（提供风险管理程序文件，提 供风险管理过程记录文件）7）服务质量持续改进制度及落实情况（一、二级资质要求）；（提供服务项目实施中持 续改进制度,并就项目开展过程中持续改进过程记录提供相关文件，持续改进结果 需得到用户认可。）8）参考GB/T 22080-2008/ISO/IEC 27001： 2005信息技术安全技术信息安全管理 体系要求标准建立信息安全管理体系并运行三个月以上（一级资质要求）。（提

9、供参照ISO/IEC27001： 2005建立的质量手册及对应的程序文件，并提供执行过程 记录）5.申请组织设备、设施与环境情况本项应包括以下内容：1）信息系统安全集成服务需要的主要检测工具清单：（提供清单，并就清单涉及的项 目应用情况进行简单描述。）2）具备独立的测试与实验环境介绍及必要的软、硬件设备清单.（提供软硬件清单， 并就独立测试与实验环境简要描述）6.申请组织信息系统安全集成服务能力1）安全集成的工作流程及操作规范；（提供针对典型安全集成项目的工作流程及操作 规范,提供一个典型安全集成项目的过程执行记录。）2）根据服务业务的需求具备开发信息安全产品或支持性工具的能力证明材料（一、二

10、 级要求）：（提供一项信息安全产品或支持性工具的现场演示环境，并提供1个典 型信息安全产品或支持性工具的全套项目文件,包括：需求采集、需求规格说明、 系统设计、测试记录、应用集成、用户测试、功能测试、压力测试、用户手册、安 装手册、专家测评、验收报告等文件）3）对市场上的信息安全产品进行功能分析、提出安全策略及对安全产品进行集成的能 力（一级要求）：（提供针对具体安全集成项目中市场上的信息安全产品奥成方案的 使用报告：提供安全集成需求分析报告，从中可以清晰看出市场上安全产品的集成 应用：提供针对主流安全产品的人员资质培训计相关的技能认证证明。）4）经国家（或行业）权威机构或专家组验证一个已完成

11、的信息系统的安全性的证明材 料（一级要求）.（公安部:il算机信息系统专用产品检测：国安：中国信息安全测评 中测评通过：行业：政府、电信、移动、金融、电力、石油、铁道等行业的典型应 用证明材料,如果涉及军方涉密，则需军方提供证明材料。）7.信息系统安全集成服务过程要求按照ISCCCSV-OO3:2O11信息系统安全集成服务资质认证实施规则及相关标准对 服务过程的具体要求，结合一个已完成的信息系统安全集成服务项目案例，提供以下材料以 证明其服务过程能力：（准备一套典型安全集成项目的全部资料）7.1 集成准备阶段本项应包括以下内容：1）信息系统安全集成的需求报告；（需求采集、需求分析、需求设计、需

12、求规格说明 等文件）2）服务合同（与客户、供方分别签订）：（包括:合同正本、附件）3）保密协议（与客户、供方分别签订）；（提供保密协议）4）服务人员与工具.（典型项目的工程实施计划中，可清晰了结人员配置及工具配置）7. 2方案设计阶段本项应提供内容:1）根据信息系统的安全需求，进行信息安全设计的证明材料；（提供典型项目系统总 体设计报告）2）信息系统安全集成方案的证明材料。（提供执行合同标的描述的内容或附件中客户 认同的安全集成方案；或针对具体安全集成解决方案的技术文档）7. 3建设实施阶段本项应提供以下内容：1）根据系统安全集成要求，开发或定制产品（仅一、二级要求）的证明材料；（提供演示 环

13、境或相关权威机构的测评报告，或技术设计及开发的相关资料文档）2）管理安全控制的证明材料；（提供安全管理规范；安全管理过程记录、系统使用手 册、安全事故报告及处理流程、安全巡检等证明材料）3）安全协调的证明材料：（安全需求变更报告，安全加固报告、工程进度报告、用户 测试报告等）4）安全监控的证明材料。（提供安全巡检，安全漏洞分析，安全事故分析、风险防范、 安全应急预案等监控证明材料）7. 4安全保证阶段本项应包括以下内容：1）提供信息系统安全集成服务报告：（售后服务体系保障措施及其规范;安全巡检规范; 系统升级保障：应急预案；安全事故处理流程等）2）对安全集成已完成的系统进行检测和验证的证明材料；（用户使用报告：用户验收 报告：安全故障排除报告等证明材料）3）提供第三方证明系统安全的证据.（权威机构测评;专家测评：用户测评：使用报告： 验收报告等）申请组织声明我组织正式提出信息系统安全集成服务资质认证申请，承诺申请 书中所提供的信息属实，遵守中华人民共和国认证认可条例及相 关法规，按照中国信息安全认证中心的有关程序和规范要求，接受认附表1申请组织信息系统安