中国信息安全认证中心 现场审核表.doc

国家信息安全人员注册授权培训机构（一级）申请指南（试用版）版本:2。

0中国信息安全产品测评认证中心二00七年九月适用范围本指南适用于向中国信息安全产品测评认证中心(CHINA INFORMATION SECURITY CERTIFICATION CENTER，以下简称：CNITSEC）提出授权培训机构(一级）申请的单位。

CNITSEC授权培训机构(一级)的授权培训范围为：注册信息安全员（CISM）的注册资质培训及双方签订的授权培训协议中所签订的其它相关定制培训（不包括注册信息安全专业人员（CISP）注册资质培训).第 1 条评估依据授权培训资质能力评估，是对授权培训机构基本资质、培训能力和培训服务能力等方面的具体衡量和评价.授权培训资质等级评估是根据CNITSEC《授权培训机构评估准则》,在申请授权培训机构的基本资质、组织与管理、培训场地、设备设施及环境、培训人员、培训经验、培训体系管理以及培训推广能力等方面进行单项评估评分的基础上，采用一定的权值综合考虑后确定，并由CNITSEC授予相应的培训级别。

第 2 条授权要求申请授权培训机构(一级）需要符合以下几项要求：一、申请单位基本资质1、独立的法人机构或法人单位；2、分支机构或全资子公司需有上级单位授权.二、组织与管理1、必须拥有健全的信息安全培训组织结构和管理体系,为持续的信息安全培训提供保证；2、具备完善的知识产权保护措施，并遵守有关法律法规。

三、规模与资产1、具有足够的授权资金和充足的流动资金：●注册资金不少于50万;●流动资金不会少于10万；●授权培训专用资金不少于5万.2、建立与所承担的培训规模相适应的培训体系；3、具有能够满足从事信息安全培训的相关人员。

四、场地、设备及环境要求1、具有固定的办公场地，良好的办公设备和环境：●办公场地不小于20m²（包括财务室）；●有培训专用计算机、电话、传真机、复印机、扫描仪和打印机等设备。

编号：国家信息安全测评认证产品认证申请书申请单位（公章）：产品名称(版本/型号)：填表日期：中国信息安全产品测评认证中心告用户用户在正式填写本申请书前，须认真阅读并理解以下内容：1.中国信息安全产品测评认证中心对下列对象进行测评认证：●信息安全产品●信息系统●信息安全服务2.信息安全产品认证分为：●型号认证●产品认证3.型号认证的方式为：用户选样测试后本中心再抽样测试，都通过测试并符合有关标准后，即获得型号认证。

4.产品认证的方式为：用户选样测试后，本中心再抽样测试，都通过测试并符合有关标准后，本中心再根据ISO/IEC9000系列有关标准和国家信息安全工程与服务评估规范等对用户的质量保障体系和安全保障能力进行评估、审核，通过评审后方能获得产品认证。

5.通过型号认证和产品认证的项目，获得认证书并准予使用国家信息安全认证标志，并列入《政府和企业信息安全产品采购指南》。

6.上述内容和有关用户获得认证的实际情况，本中心将以各种有效方式周期性向国内外公告。

目录 (3)填表要求 (4)申请单位基本情况 (5)申请认证类别和产品状况 (6)产品功能说明书 (8)产品设计方案 (10)使用手册 (12)产品自测情况说明 (14)脆弱性分析 (20)执行标准情况 (22)主要原材料，外协外购件明细表 (23)申请认证产品的生产厂商检验室主要检测设备表 (24)质量手册的简要说明 (25)质量体系和安全保障能力文档 (26)申请认证产品的生产厂商检验室人员情况表 (27)主要技术人员情况表 (28)送(抽)样产品明细表 (29)委托书 (30)申请单位声明 (31)1、一律用计算机填写，内容要具体、真实。

2、如填写内容较多，可另加附页。

3、申报资料份数为纸版两份，电子版一份。

申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：地址：邮政编码法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）BP （）手机（）工商登记注册号（附企业法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：密码主管部门的批文文号或商密科研、生产定点单位的密码产品授权证明（附复印件）：其他重要的法律文件：精品文档精品文档申请认证类别和产品状况认证类别：申请认证产品名称商标规格产量销量单价应用领域备注政府部门（）金融部门（）企事业（）其它（）填表人：填表日期：编号：附件1产品功能说明书产品类别：产品名称：申请单位（公章）：填写人：中国信息安全产品测评认证中心要求本说明书应包括以下内容：1.产品的安全策略2.产品的安全目标和外部接口说明3.产品的基本组成及功能描述4.与产品安全功能相关的术语及定义说明编号：附件2产品设计方案产品类别：产品名称：申请单位（公章）：方案设计人（单位）：中国信息安全产品测评认证中心要求本附件应包括：1.产品总体设计或结构化设计方案2.产品详细设计思路3.产品安全体系结构编号：附件3使用手册产品类别：产品名称：申请单位（公章）：手册编写人：中国信息安全产品测评认证中心要求本手册应包括以下内容：1.管理指南✧管理员指南✧用户指南2.配置管理文件✧配置表✧对产品配置项和使用的外部服务进行描述✧对配置项的唯一鉴别方法进行描述3.操作文档✧产品安装步骤✧系统生成步骤✧启动过程步骤4.系统维护文档5.要求内容详尽，语言规范，通俗易懂编号：附件4产品自测情况说明产品名称：申请单位（公章）填表人：填表日期：中国信息安全产品测评认证中心要求本附件可以是：1.委托其它测评认证机构进行测评认证的测试过程和测试报告及其结论；2.成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论；3.产品出厂前（或投放市场前）由生产单位质检部门进行测试的方法和测试报告；4.也可以是产品开发人员进行功能调试所采用的方法和检测手段。

信息安全服务资质认证监督调查表单(doc 8页)信息安全服务资质认证监督调查表（安全工程类二级）填表日期：4.组织机构情况（须提供现有的组织结构图，应明确涉及安全服务的管理、研发、安全工程实施、质量保证、客户服务、人力资源管理、培训和合同管理等部门的变化情况）5.资产运营状况（须提供本年度审计机构提供的资产状况良好的证明材料，若财务亏损或发生其它异常状况，须说明情况，并提供审计机构的营业执照）6.信息安全工程基本能力情况（安全服务人员；自主开发产品；工作环境设施；常用安全服务工具情况。

）7.质量体系运行情况（应说明当前质量体系运行情况，提供相应的质量手册、程序文件、与安全工程有关的三级文件清单）8.安全工程技术能力提高情况（在实施一年的过程中，技术能力是否提高并运用到实际工程中）9. 认证后一年的安全工程服务业绩情况10. 在这一年中是否有质量投诉情况三、对我中心信息安全服务资质认证及证后监督工作的意见和建议给出意见与建议组织盖章：四、申请组织近一年安全工程服务项目汇总表对象系统应用架构图及描述：通过项目实施发现和解决的主要安全问题和风险组织盖章：五、提供的附件1.组织法人营业执照复印件一份；2.中华人民共和国组织机构代码证复印件一份；3.组织负责人变化后，新负责人的简历、任职及相应证明文件的复印件；4.在本组织正式任职的CISP人员证书各一份及其有效联系方式（座机和手机）；5.最近的财务审计报告一份，并附上审计单位的营业执照；6.本年度实施的信息安全工程项目，选取一项提交项目合同、工程实施方案和验收报告的复印件一份；7.填写“质量手册、程序文件的文件清单列表”（见表一）；8.填写“安全工程相关的三级文件清单列表”（见表二）；9.组织其它需要说明的问题。

表一：质量手册、程序文件的文件清单列表组织盖章：表二：安全工程相关的三级文件清单列表序号文件名称文件编号批准人发布日期备注组织盖章：。

信息安全管理体系审核检查表标准要求的强制性ISMS文件审核重点检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：定义风险评估方法(参见4.2.1 c)识不安全风险(参见4.2.1 d))分析和评判安全风险(参见4.2.1 e)识不和评判风险处理选择措施(参见的4.2.1 f)选择风险处理所需的操纵目标和操纵措施(参见4.2.1 g))确保治理者正式批准所有残余风险(参见4.2.1 h)确保在ISMS实施和运行之前，获得治理者授权(参见的4.2.1 i))预备适用性声明(参见4.2.1 j)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括：ISMS监视与评审(按照4.2.3监视与评审ISMS”条款)操纵措施有效性的测量(按照4.3.1 g)内部ISMS审核(按照第6章“内部ISMS审核”)治理评审(按照第7章“ISMS的治理评审”)ISMS改进(按照第8章“ISMS改进”)。

检查治理者如何执行治理评审(包括抽样检查关键的过程是否到位)，按照条款包括：4.2.3监视与评审ISMS第7章“ISMS的治理评审”。

检查治理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，按照条款包括：4.2.3监视与评审ISMS5 治理职责7 ISMS的治理评审检查安全方针、风险评估结果、操纵目标与操纵措施、各种活动和职责，相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。

上次审核发觉的纠正/预防措施分析与执行情形；内审与治理评审的实施情形；治理体系的变更情形；信息资产的变更与相应的风险评估和处理情形；信息安全事故的处理和记录等。

检验组织的ISMS是否连续地全面地符合ISO/IEC 27001:2005的要求。

评审在那个认证周期中ISMS的实施与连续爱护的情形，包括：检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、爱护和改进；评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；检查ISMS如何应对组织的业务与运行的变化；检验治理者对爱护ISMS有效性的承诺情形。

CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。

制定信息安全风险评估服务规范并按照规范实施。

仅三级要求：至少有一个完成的风险评估项目，该系统的用户数在 1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。

仅二级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在 10,000 以上；具备从管理和技术层面对脆弱性进行识别的能力。

评估服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

已制定的信息安全风险评估服务规范。

一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。

一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。

序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在 100,000 以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。

仅三级要求：具备跟踪信息安全漏洞的能力仅二级要求：具备跟踪、验证信息安全漏洞的能力。

仅一级要求：具备跟踪、验证、挖掘信息安全漏洞的能力。

编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。

应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。

仅二级 / 一级要求：应进行充分的系统调研，形成调研报告。

仅二级 / 一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。

仅二级 /一级要求：应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。

信息安全服务资质现场监督审核流程流程说明：1、准备阶段项目管理人员在持证组织证书到期前3个月，将《监督审核通知单》发送给持证组织，通知本年度现场监督审核工作启动；持证组织登录中国信息安全认证中心网站，下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表，实施自评估后（具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》），将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。

2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要持证组织补充材料，应在五周内完成）项目管理人员指派审查员对持证组织提交的材料进行非现场审核；审查员依据《信息安全服务规范》及相关技术标准，对持证组织所提供的材料是否满足要求进行判定，并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向持证组织出具《受理通知单》（如持证组织有需求，也可签订《服务资质认证合同》），收取认证费用。

如不满足要求，审查员开具《材料问题清单》，通知持证组织补充材料重新提交，并对补充材料进行审核。

3、现场审核阶段（此阶段工作应在四周内完成，如开具不符合项，应在八周内完成）项目管理人员指派审核组长（一般情况下指派对该组织材料进行非现场审核的审查员为组长），协调审查员组建审核组；审核组长编制《审核计划》，准备现场审核的相关表格等材料，通过项目管理人员将《审核计划》发送给持证组织；审核组前往对持证组织开展现场审核工作，判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求，并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。

如满足要求，审核组长编制《审核报告》，并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定（如开具不符合项，审核组长则通知持证组织在一个月内提交整改材料）；如不满足要求（例如在现场审核时发现持证组织存在材料造假等严重不符合时），审核组长现场通知持证组织不推荐其继续持有证书，同时编制《审核报告》，在报告中注明不满足资质要求的具体情况，并提交中心进行认证决定。