信息安全等级保护测评机构申请表审批稿

信息安全等级保护商用密码测评机构审批服务指南一、适用范围本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。

二、项目信息项目名称：信息安全等级保护商用密码测评机构审批子项名称：无审批类别：非行政许可审批（正在履行新设行政许可程序）项目编号：60012三、办理依据《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条：“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

”《信息安全等级保护管理办法》（公通字〔2007〕43号）第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

”第三十八条：“信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

”《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11号）第十一条：“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。

”四、受理机构国家密码管理局五、决定机构国家密码管理局六、审批数量无数量限制七、办事条件申请人应当具备以下条件：1.独立法人的企事业单位；2.产权关系明晰，资产总值不低于1000万元；3.具备信息安全系统测评相关经验，具有密码相关工作经验的专业技术人员，人数不少于30人；4.具备必要的系统测评环境、设备和设施；5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度；6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动，不从事密码产品生产、销售等业务；7.国家密码管理局要求的其他条件。

八、申请材料（一）申请材料清单序号 提交材料名称 原件/复印件份数 纸质/电子 要求 1《信息安全等级保护商用密码测评机构申请表》原件 12 《信息安全等级保护商用密码测评机构主要管理和技术人员登记表》原件 13 独立法人证明材料 复印件 14 财务报表或报告 复印件 1 5从事信息安全系统测评工作情况的材料复印件 16 从事信息安全等级保护商用密码测评所需专用检测设施、设备清单复印件 17 相关管理规章制度文本 复印件 1 纸质和PDF电子扫描文件纸质加盖单位印章（二）申请材料提交申请人可通过国家密码管理局受理窗口方式提交材料。

信息系统安全等级保护测评报告审批稿信息系统安全等级保护测评报告YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】报告编号：（ -16-1303-01）信息系统安全等级测评报告说明：⼀、每个备案信息系统单独出具测评报告。

⼆、测评报告编号为四组数据。

各组含义和编码规则如下：第⼀组为信息系统备案表编号，由2段16位数字组成，可以从公+安机关颁发的信息系统备案证明（或备案回执）上获得。

第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第⼆组为年份，由2位数字组成。

例如09代表2009年。

第三组为测评机构代码，由四位数字组成。

前两位为省级⾏政区划数字代码的前两位或⾏业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为⼭西，15为内蒙古，21为辽宁，22为吉林，23为⿊龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为⼭东，41为河南，42为湖北，43为湖南，44为⼴东，45为⼴西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为⽢肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。

90为国防科⼯局，91为电监会，92为教育部。

后两位为公安机关或⾏业主管部门推荐的测评机构顺序号。

第四组为本年度信息系统测评次数，由两位构成。

例如02表⽰该信息系统本年度测评2次。

信息系统等级测评基本信息表注：单位代码由受理测评机构备案的公安机关给出。

声明本报告是票务系统的安全等级测评报告。

本报告测评结论的有效性建⽴在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。

当测评⼯作完成后，由于信息系统发⽣变更⽽涉及到的系统构成组件（或⼦系统）都应重新进⾏等级测评，本报告不再适⽤。

一、报告概述随着信息技术的飞速发展，信息安全问题日益凸显，企业及个人对信息安全的需求日益增长。

为了确保我单位信息系统的安全稳定运行，提高信息安全防护能力，根据《中华人民共和国网络安全法》及相关政策法规要求，特申请进行信息安全评估。

以下是信息安全评估申请报告的具体内容。

二、评估背景1. 法律法规要求根据《中华人民共和国网络安全法》等法律法规，我单位有义务对信息系统进行安全评估，确保信息系统安全稳定运行。

2. 企业发展需求随着市场竞争的加剧，企业对信息系统的依赖程度越来越高。

为了保障企业核心竞争力，必须加强信息安全防护。

3. 现有信息系统安全隐患经过自查，我单位信息系统存在以下安全隐患：（1）网络架构不合理，存在单点故障风险；（2）安全防护措施不足，部分系统存在安全漏洞；（3）员工信息安全意识薄弱，存在内部泄露风险；（4）数据备份与恢复机制不完善，可能导致数据丢失。

三、评估目标1. 识别信息系统安全隐患；2. 提出整改建议，提高信息安全防护能力；3. 建立健全信息安全管理体系，确保信息系统安全稳定运行。

四、评估内容1. 网络架构安全评估（1）网络拓扑结构合理性分析；（2）网络设备安全配置检查；（3）网络流量监控与分析；（4）网络安全防护设备部署情况检查。

2. 系统安全评估（1）操作系统安全配置检查；（2）数据库安全配置检查；（3）应用系统安全配置检查；（4）安全漏洞扫描与修复。

3. 数据安全评估（1）数据分类分级管理；（2）数据加密与脱密管理；（3）数据备份与恢复机制；（4）数据安全审计。

4. 员工安全意识评估（1）员工信息安全培训；（2）员工信息安全意识调查；（3）员工安全操作规范。

5. 信息安全管理体系评估（1）信息安全管理制度；（2）信息安全组织架构；（3）信息安全风险评估与控制；（4）信息安全事件应急响应。

五、评估方法1. 文件审查：审查相关安全管理制度、操作规程等文件。

2. 现场勘查：实地查看网络架构、设备配置、安全防护措施等。

尊敬的审批部门：我单位（单位名称）成立于（成立年份），是一家专注于网络安全领域的技术服务公司。

为积极响应国家网络安全战略，提升我国网络安全防护能力，我单位特向贵部门申请成为网络安全测评机构。

现将有关事项报告如下：一、单位基本情况1. 单位名称：（单位名称）2. 成立时间：（成立年份）3. 注册资本：（注册资本金额）4. 经营范围：网络安全技术咨询服务、网络安全测评服务、网络安全培训服务等。

5. 住所地：（住所地详细地址）二、技术实力1. 人才队伍：我单位拥有一支专业、高效的网络安全技术团队，团队成员均具备丰富的网络安全工作经验，其中高级工程师（或高级职称）人数占团队比例超过30%。

2. 技术水平：我单位具备国内外先进的网络安全测评技术和设备，能够全面、深入地开展网络安全测评工作。

3. 软件研发：我单位自主研发了多款网络安全测评工具，已获得相关知识产权，为测评工作提供了有力支持。

三、业务开展情况1. 业务领域：我单位业务涵盖网络安全测评、安全漏洞分析、安全加固、安全培训等多个领域。

2. 服务对象：我单位已为政府机关、企事业单位、金融机构等众多客户提供了优质的网络安全测评服务。

3. 服务成果：我单位成功发现并协助客户修复了大量网络安全漏洞，有效提升了客户网络安全防护能力。

四、申请理由1. 积极响应国家网络安全战略：我单位成立之初便致力于提升我国网络安全防护能力，此次申请成为网络安全测评机构，旨在更好地履行社会责任，为国家网络安全事业贡献力量。

2. 满足市场需求：随着网络安全形势日益严峻，社会各界对网络安全测评服务的需求不断增长，我单位具备满足这一需求的能力。

3. 提升企业竞争力：成为网络安全测评机构有助于提升我单位在行业内的知名度，增强企业竞争力。

五、承诺事项1. 严格遵守国家法律法规和行业标准，确保测评工作的合规性。

2. 保守客户隐私，不得泄露测评过程中获取的任何信息。

3. 定期参加专业培训，不断提升技术水平和业务能力。

项目编号：信息系统安全等级测评申请书申请单位（公章）：系统名称：申请日期：上海市信息安全测评认证中心告用户用户在正式填写本申请书前，须认真阅读并理解以下内容：1.以下申请书填写项中，如无备注说明，均属信息系统申请安全等级测评的必填项。

用户申请安全测评时，应请交纸质版申请书及附件原件一份，同时交电子版一份。

如填写内容较多，可另加附页。

2.上海市信息安全测评认证中心地址：陆家浜路1308号邮编：200011 电话：（021）63789900 传真：（021）63789039邮箱：yewubu@一、申请单位基本情况二、测评系统概况三、申请单位声明本单位申请上海市信息安全测评认证中心对其系统的安全性进行等级测评，有关事宜委托全权代理，请测评中心予以接洽。

本单位将于收到上海市信息安全测评认证中心《信息系统安全测评受理通知书》后十日内（或根据签订协议条款）支付全部测评费用。

申请单位（公章）：日期：年月日附：代理人简况《信息系统安全等级保护定级报告》信息系统安全等级保护备案表备 案 单 位： （盖章） 备 案 日 期：受理备案单位： （盖章） 受 理 日 期：中华人民共和国公安部监制备案表编号：附件三XXXX信息系统基本情况调查表单位名称(盖章)20XX年X月X日说明1、请提供信息系统的最新网络结构图（拓扑图）网络结构图要求：●应该标识网络功能区域划分等情况●应该标识网络与外部的连接等情况●应该标识出网络设备、服务器设备和主要终端设备及其名称●应该标识出主要服务器设备和网络设备的IP地址2、请根据信息系统的网络结构图填写各类调查表格。

表1-1. 单位基本情况调查注：情况简介一栏，请填写与被测评系统有关的机构内容。

表1-2. 网络结构（环境）情况调查注：重要程度填写非常重要、重要、一般表1-3. 外联（网络边界）情况调查表1-4. 网络设备情况调查表1-5. 安全设备情况调查表1-6. 服务器设备情况调查2、包括数据存储设备表1-7. 终端设备情况调查2、包括专用终端设备以及网管终端、安全设备控制台等表1-8. 应用系统情况调查填表人：日期：注：1、用户分布范围栏填写全国、全省、本地区、本单位2、重要程度栏填写非常重要、重要、一般表1-9. 业务数据情况调查表1-10.安全相关人员名单以列表形式给出与被测信息系统安全相关的人员，描述项目包括姓名、岗位/角色和联系方式。

编号：XXXX信息系统安全等级测评申请书申请单位（盖章）：系统名称：系统安全等级：________________________ 申请日期：赛博信测（北京）技术有限公司填表说明用户填写和提供的信息及资料应保证真实可靠。

1、本申请表请在计算机上填写，内容以实际情况为准。

2、请提交申请书1份，包括要求的附件内容，并加盖单位公章。

申请单位联系信息部门: 部门负责人: 电话: 手机:联系人: 电话: 手机: 传真: 电子邮箱: 联系地址: 邮政编码:附件：一、基本材料1.《信息系统安全等级保护备案表》2.《信息系统安全等级保护备案表》要求的相关附件：定级报告系统拓扑结构及说明（要求描述）安全组织机构说明系统安全保护设施设计实施方案或改建实施方案系统使用的安全产品清单及认证、销售许可证明3.系统相关的主要服务商及其资质4.其他：专家评审意见（如有）安全测评报告（如有）二、系统资料网络系统：1.网络安全域的划分情况；2.网络的访问控制策略；3.网络的带宽控制策略（如QoS）；4.网络设备、安全设备审计功能的设计与实现；5.非法外联、非法接入控制措施；6.入侵防范及恶意代码防范部署情况；7.网络和安全设备管理员身份鉴别；8.边界和核心交换设备保护措施；主机系统：1.各操作系统和数据库系统采用的鉴别方式（账号/密码或其他方式）2.操作系统和数据库系统用户账号安全策略（包括对账号口令复杂度设置、口令修改设置、登录失败处理情况）3.服务器远程管理安全策略（是否允许远程管理、传输加密要求）4.服务器中各用户对资源的访问控制策略（敏感信息资源清单，用户权限分配策略、系统账号列表及各账号用途）5.主要服务器必须开放的端口及其用途6.操作系统和数据库安全审计策略7.服务器本地安全防护措施（如：防火墙、防恶意代码等）；8.服务器提供其功能所必需的操作系统组件及其他软件清单9.服务器安全监控（如：主机入侵检测系统等)10.设计/验收文档应用系统：1.应用系统用户身份鉴别方式（账号/密码、数字证书等）。

尊敬的测评机构领导：您好！我单位为（单位名称），鉴于当前信息安全形势日益严峻，为了提高我单位信息安全防护能力，确保业务系统安全稳定运行，现向贵机构申请进行信息安全测评。

以下为详细申请内容：一、单位简介（单位名称）成立于（成立时间），是一家专注于（主营业务）的高新技术企业。

近年来，我单位在业务领域取得了显著成绩，同时也意识到信息安全的重要性。

为了保障我单位的信息安全，特向贵机构申请进行信息安全测评。

二、测评目的1. 了解我单位现有信息安全防护措施的有效性，发现潜在的安全风险。

2. 评估我单位业务系统对信息安全威胁的抵御能力，提高安全防护水平。

3. 依据测评结果，制定针对性的信息安全整改措施，降低安全风险。

4. 树立良好的企业形象，增强客户信任度。

三、测评范围1. 网络安全：包括网络设备、网络架构、网络协议等方面。

2. 应用安全：包括业务系统、数据库、Web应用等方面。

3. 数据安全：包括数据存储、传输、处理等方面。

4. 系统安全：包括操作系统、数据库、中间件等方面。

5. 人员安全：包括安全意识、安全操作等方面。

四、测评内容1. 网络安全：检查网络设备配置、网络架构设计、安全策略等方面。

2. 应用安全：评估业务系统安全漏洞、代码质量、输入验证等方面。

3. 数据安全：检查数据存储、传输、处理过程中的安全措施。

4. 系统安全：评估操作系统、数据库、中间件等系统的安全防护能力。

5. 人员安全：调查安全意识、安全操作等方面的问题。

五、测评时间及人员安排1. 测评时间：预计自收到测评报告之日起（时间）内完成。

2. 测评人员：由我单位指派具备信息安全专业背景的人员，负责配合贵机构进行测评工作。

六、测评费用及支付方式1. 测评费用：根据贵机构收费标准，我单位愿意支付（金额）元人民币作为测评费用。

2. 支付方式：采用银行转账方式支付。

七、申请承诺1. 我单位保证提供真实、准确的信息，积极配合贵机构进行信息安全测评。

尊敬的评审委员会：您好！我司特此向贵委员会提交信息安全测评申请，请您予以审批。

以下是我司信息安全测评申请的具体内容：一、申请单位基本情况单位名称：×××科技有限公司单位地址：×××市×××区×××路×××号统一社会信用代码：××××××××××××××××联系人：×××联系电话：×××××××××××电子邮箱：×××××××××××单位简介：×××科技有限公司成立于××××年，主要从事信息技术研发、信息安全服务等业务。

公司秉承“安全、创新、共赢”的理念，致力于为用户提供高质量的信息安全解决方案。

二、申请事项1. 测评对象：公司信息技术产品及信息系统2. 测评范围：信息安全风险评估、漏洞扫描、安全防护能力测试等3. 测评等级：信息安全服务资质（安全工程类）一级4. 测评机构：中国信息安全测评中心（CNITSEC）三、申请依据和条件1. 根据《中华人民共和国网络安全法》等相关法律法规，公司需对信息技术产品及信息系统进行安全测评，以确保信息安全。

2. 公司具备以下条件：（1）注册时间两年以上，具有相关安全行业从业经验；（2）拥有10个通过公安部评估中心或同等机构认证的测评师；（3）建立了有效的质量管理体系，规范安全运营过程，确保能跟踪和纠正过程中的重大偏离。