信息安全风险评估服务资质申请书

编号：国家信息安全测评信息安全服务资质申请书(安全工程类三级)申请单位（公章）：填表日期：©版权2016—中国信息安全测评中心2016年9月1日目录填表须知 (2)申请表 (3)一、申请单位基本情况 (4)二、申请单位概况 (5)三、申请单位资产运营情况 (6)四、申请单位人员情况 (8)五、申请单位的基本技术能力 (17)六、申请单位安全工程服务业绩 (22)七、申请单位的质量管理能力 (24)7.1质量管理体系和管理职责 (25)7.2信息安全管理体系和管理职责 (27)7.3资源管理能力 (29)7.4项目过程管理能力 (31)7.5质量保证与改进能力 (33)八、申请单位安全工程过程能力 (35)8.1风险过程-评估系统安全威胁能力 (36)8.2风险过程-评估系统脆弱性能力 (38)8.3风险过程-评估安全对系统影响能力 (40)8.4风险过程-评估系统安全风险能力 (44)8.5工程过程-确定安全需求能力 (46)8.6工程过程-安全设计能力 (48)8.7工程过程-工程实施能力 (50)8.8工程过程-安全运维能力 (52)8.9工程过程-安全态势监控能力 (54)8.10工程过程-提供安全输入能力 (56)8.11工程过程-安全协调能力 (58)8.12保证过程-检验并证实系统安全性能力 (60)8.13保证过程-建立安全保证论据能力 (62)九、申请单位获奖、资格授权情况 (64)十、申请单位在安全服务方面的发展规划 (65)十一、申请单位其他说明情况 (66)十二、申请单位附加信息 (67)申请单位声明 (74)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1．中国信息安全测评中心对下列对象进行测评：●信息技术产品●信息系统●提供信息安全服务的组织●信息安全专业人员2．申请单位应仔细阅读《信息安全服务资质申请指南（安全工程类三级）》，并按照其要求如实、详细地填写本申请书所有项目。

一、报告概述随着信息技术的飞速发展，信息安全问题日益凸显，企业及个人对信息安全的需求日益增长。

为了确保我单位信息系统的安全稳定运行，提高信息安全防护能力，根据《中华人民共和国网络安全法》及相关政策法规要求，特申请进行信息安全评估。

以下是信息安全评估申请报告的具体内容。

二、评估背景1. 法律法规要求根据《中华人民共和国网络安全法》等法律法规，我单位有义务对信息系统进行安全评估，确保信息系统安全稳定运行。

2. 企业发展需求随着市场竞争的加剧，企业对信息系统的依赖程度越来越高。

为了保障企业核心竞争力，必须加强信息安全防护。

3. 现有信息系统安全隐患经过自查，我单位信息系统存在以下安全隐患：（1）网络架构不合理，存在单点故障风险；（2）安全防护措施不足，部分系统存在安全漏洞；（3）员工信息安全意识薄弱，存在内部泄露风险；（4）数据备份与恢复机制不完善，可能导致数据丢失。

三、评估目标1. 识别信息系统安全隐患；2. 提出整改建议，提高信息安全防护能力；3. 建立健全信息安全管理体系，确保信息系统安全稳定运行。

四、评估内容1. 网络架构安全评估（1）网络拓扑结构合理性分析；（2）网络设备安全配置检查；（3）网络流量监控与分析；（4）网络安全防护设备部署情况检查。

2. 系统安全评估（1）操作系统安全配置检查；（2）数据库安全配置检查；（3）应用系统安全配置检查；（4）安全漏洞扫描与修复。

3. 数据安全评估（1）数据分类分级管理；（2）数据加密与脱密管理；（3）数据备份与恢复机制；（4）数据安全审计。

4. 员工安全意识评估（1）员工信息安全培训；（2）员工信息安全意识调查；（3）员工安全操作规范。

5. 信息安全管理体系评估（1）信息安全管理制度；（2）信息安全组织架构；（3）信息安全风险评估与控制；（4）信息安全事件应急响应。

五、评估方法1. 文件审查：审查相关安全管理制度、操作规程等文件。

2. 现场勘查：实地查看网络架构、设备配置、安全防护措施等。

信息安全咨询服务申请书尊敬的信息安全咨询服务组织：首先，我代表XXXXXXXX公司，向贵组织提交申请，希望能够获得信息安全咨询服务。

以下是我们对此服务的申请书。

一、项目背景和目标XXXXXXXX公司是一家在互联网领域运营的企业，我们致力于为用户提供高质量的在线服务。

随着互联网的迅速发展，网络安全问题日益突出，为了保障公司的信息资产安全以及用户的隐私安全，我们希望能够获得专业的信息安全咨询服务。

通过咨询服务，我们的目标是全面识别公司存在的安全隐患，并提供有效的解决方案，建立可持续的信息安全管理体系。

二、咨询服务内容1. 安全风险评估：通过对公司的系统、网络和应用等进行全面评估，确定当前存在的安全威胁及其潜在影响。

2. 安全策略制定：制定一套符合公司业务特点和发展需求的信息安全策略，包括安全目标、安全策略、风险管理措施等。

3. 安全方案实施：根据公司的具体情况，提供定制化的安全实施方案，确保信息安全策略的有效执行。

4. 安全培训与意识提升：为公司员工提供相关的信息安全培训，提高员工的信息安全意识和应对能力。

5. 安全检测与监控：建立持续的安全监控机制，定期对系统进行漏洞扫描和安全事件响应，及时发现并解决安全问题。

三、项目计划和时间安排1. 项目启动：在签订合同后的5个工作日内，双方进行项目启动会议，明确项目目标、工作重点和时间安排等。

2. 安全风险评估：预计完成时间为15个工作日，包括信息收集、风险分析和报告编写等环节。

3. 安全策略制定：预计完成时间为10个工作日，包括需求沟通、制定方案和方案确认等环节。

4. 安全方案实施：根据具体情况确定实施时间和阶段性目标，预计完成时间为30个工作日。

5. 安全培训与意识提升：根据公司员工规模和需求确定培训计划，预计完成时间为20个工作日。

6. 安全检测与监控：建立持续的安全监控机制，需长期进行，具体进度和时间根据实际情况确定。

四、费用预算1. 安全风险评估费用预算：XXXXX元。

信息安全风险评估服务资质
认证申请书
【最新资料，WORD文档，可编辑修改】
填表须知
申请组织在正式填写本申请书前，须认真阅读并理解以下内容：
1．申请组织应仔细阅读ISO/IEC 27005:2008《信息技术安全技术信息安全风险评估管理》、GB/T 20984-2007《信息安全技术信息安全风险评估规范》、YD/T 2252-2011《网络与信息安全风险评估服务能力评估方法》，并按照其要求如实、详细地填写本申请书所有内容。

2．申请组织应按照本申请书规定格式进行填写。

若表格空间不够，可另加附页。

3．申请组织须提交《信息安全风险评估服务资质认证申请书》（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。

附表1
申请组织信息安全风险评估服务相关人员汇总表
中国信息安全认证中心第8页
中国信息安全认证中心第9页
附表2
人员情况表。

尊敬的测评机构领导：您好！我单位为（单位名称），鉴于当前信息安全形势日益严峻，为了提高我单位信息安全防护能力，确保业务系统安全稳定运行，现向贵机构申请进行信息安全测评。

以下为详细申请内容：一、单位简介（单位名称）成立于（成立时间），是一家专注于（主营业务）的高新技术企业。

近年来，我单位在业务领域取得了显著成绩，同时也意识到信息安全的重要性。

为了保障我单位的信息安全，特向贵机构申请进行信息安全测评。

二、测评目的1. 了解我单位现有信息安全防护措施的有效性，发现潜在的安全风险。

2. 评估我单位业务系统对信息安全威胁的抵御能力，提高安全防护水平。

3. 依据测评结果，制定针对性的信息安全整改措施，降低安全风险。

4. 树立良好的企业形象，增强客户信任度。

三、测评范围1. 网络安全：包括网络设备、网络架构、网络协议等方面。

2. 应用安全：包括业务系统、数据库、Web应用等方面。

3. 数据安全：包括数据存储、传输、处理等方面。

4. 系统安全：包括操作系统、数据库、中间件等方面。

5. 人员安全：包括安全意识、安全操作等方面。

四、测评内容1. 网络安全：检查网络设备配置、网络架构设计、安全策略等方面。

2. 应用安全：评估业务系统安全漏洞、代码质量、输入验证等方面。

3. 数据安全：检查数据存储、传输、处理过程中的安全措施。

4. 系统安全：评估操作系统、数据库、中间件等系统的安全防护能力。

5. 人员安全：调查安全意识、安全操作等方面的问题。

五、测评时间及人员安排1. 测评时间：预计自收到测评报告之日起（时间）内完成。

2. 测评人员：由我单位指派具备信息安全专业背景的人员，负责配合贵机构进行测评工作。

六、测评费用及支付方式1. 测评费用：根据贵机构收费标准，我单位愿意支付（金额）元人民币作为测评费用。

2. 支付方式：采用银行转账方式支付。

七、申请承诺1. 我单位保证提供真实、准确的信息，积极配合贵机构进行信息安全测评。

尊敬的评审委员会：您好！我司特此向贵委员会提交信息安全测评申请，请您予以审批。

以下是我司信息安全测评申请的具体内容：一、申请单位基本情况单位名称：×××科技有限公司单位地址：×××市×××区×××路×××号统一社会信用代码：××××××××××××××××联系人：×××联系电话：×××××××××××电子邮箱：×××××××××××单位简介：×××科技有限公司成立于××××年，主要从事信息技术研发、信息安全服务等业务。

公司秉承“安全、创新、共赢”的理念，致力于为用户提供高质量的信息安全解决方案。

二、申请事项1. 测评对象：公司信息技术产品及信息系统2. 测评范围：信息安全风险评估、漏洞扫描、安全防护能力测试等3. 测评等级：信息安全服务资质（安全工程类）一级4. 测评机构：中国信息安全测评中心（CNITSEC）三、申请依据和条件1. 根据《中华人民共和国网络安全法》等相关法律法规，公司需对信息技术产品及信息系统进行安全测评，以确保信息安全。

2. 公司具备以下条件：（1）注册时间两年以上，具有相关安全行业从业经验；（2）拥有10个通过公安部评估中心或同等机构认证的测评师；（3）建立了有效的质量管理体系，规范安全运营过程，确保能跟踪和纠正过程中的重大偏离。

编号：国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位（公章）：填表日期：©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1．中国信息安全测评中心对下列对象进行测评：●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2．申请单位应仔细阅读《信息安全服务资质申请指南（安全工程类一级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。