信息安全应急处理服务资质认证申请书-中国信息安全认证中心

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

信息安全应急处理服务一级资质
1 、信息安全应急处理服务一级资质
本文主要介绍信息安全应急处理服务一级资质的内容，认证的基本要求和流程。

信息安全应急处理服务一级资质是由信息安全管理局根据《信息安全管理条例》考核企业的信息安全应急处理服务能力的资质，一级资质是对企业信息安全应急处理服务能力的最高评价。

一级资质的基本要求包括：
一、企业须具备信息安全应急处理服务的组织机构，并编制完善的应急处理服务体系；
二、企业应急处理服务项目应具备管理机制和质量标准，保证服务质量；
三、企业须拥有专业技术人员、服务人员及其他必要的人力资源；
四、企业应当建立健全的售后服务体系和客户投诉处理机制；
一级资质的认证主要包括以下几个步骤：
一、申请：企业首先需要向当地的信息安全管理局提出一级资质认证申请，并提交完备的资料；
二、考核：考核小组对企业的信息安全应急处理服务从组织制度、人员配备、服务质量等方面进行考核；
三、颁发：经考核符合一级资质要求者，由当地的信息安全管理局颁发一级资质证书。

经信息安全管理局认证的一级资质，可以证明企业信息安全应急处理服务能力达到最高标准，也可以在政府采购及各类市场活动中，获得优先考虑的待遇，如市场拓展及客户吸引等。

此外，一级资质可以帮助企业树立良好的品牌形象，有利于企业优化发展，提升市场竞争力。

信息安全服务资质认证
监督审核通知单
：
您好，贵组织已获中国网络安全审查技术与认证中心颁发的：
安全集成服务资质级认证证书（获证日期：年月日）
应急处理服务资质级认证证书（获证日期：年月日）
风险评估服务资质级认证证书（获证日期：年月日）
安全开发服务资质级认证证书（获证日期：年月日）
安全运维服务资质级认证证书（获证日期：年月日）
灾难备份与恢复服务资质A类级认证证书（获证日期：年月日）灾难备份与恢复服务资质B类级认证证书（获证日期：年月日）网络安全审计服务资质级认证证书（获证日期：年月日）
工业控制系统安全服务资质级认证证书（获证日期：年月日）根据《信息安全服务资质认证实施规则》的要求，贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。

请在十个工作日内，将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。

另外，请在贵方计划的审核日期两个月之前提交自评估材料（例如：如果计划在9月10日接受审核，自评估材料需在7月10日之前提交至中心，自评估表在“，自评估表及其附件要求的证明材料只接收电子版）。

如贵组织申请的认证类别和级别发生变化，针对有变化的认证类别需重新填写申请书和自评估表。

联系人：彭琳赓；联系电话：/4648
联系地址：北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。

收款账户：户名：中国信息安全认证中心；
开户行：中信银行北京国际大厦支行
账号：7
特此通知。

中国网络安全审查技术与认证中心
年月日
回执。

4、公共管理和项目要求
（1）公共管理包含；法律地位、财务资信、办公场所、人员要求、服务管理要求（人员管理文档管理保密管理项目管理合同管理供应商管理，体系建设要求），技术工具要求等。

（2）项目说明：
在信息安全管理体系中涉及到了风险评估的相关概念，在信息安全服务资质也涉及到了风险评估，两者在能力要求和方法论上是一致的。

具备跟踪、验证信息安全漏洞的能力。

三级：至少有一个完成的风险评估项目，该系统的用户数在1，000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。

具备跟踪信息安全漏洞的能力。

二级：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10，000以上；具备从管理和技术层面对脆弱性进行识别的能力。

具备跟踪、验证信息安全漏洞的能力。

第四：信息安全应急处理服务资质
1、应急处理的几个阶段
2、什么是应急处理项目
（1）尽量选择真实发生的安全事件的应急而不是应急演练类项目；
（2）选择的案例尽量是网络信息安全类事件的应急；
（3）尽量不选择预防性的应急案例，这种案例一般不能很好体现应急事件的临场分析、处置能力。

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

信息安全应急处理资质证书机构1.引言1.1 概述概述部分应该简要介绍本文的主题以及相关背景知识，概述信息安全应急处理资质证书机构在信息安全领域的重要性和作用。

以下为文章概述的内容：概述在当今高度信息化的社会中，信息安全问题日益突出，给各行各业的正常运行造成了严重威胁。

信息安全应急处理作为一个重要的领域，致力于预防和应对各类安全事件，确保信息系统的可靠性和可用性。

然而，随着信息安全威胁的持续增加，面对复杂多变的黑客攻击、病毒传播和数据泄露等问题，企业和组织需要具备一定的技术和专业知识来有效处理和应对。

因此，信息安全应急处理资质证书机构应运而生。

这些机构以其专业知识和能力，为企业和组织提供了一种标准化的培训和认证体系，使其能够培养和选拔具备信息安全应急处理能力的人才。

通过参与培训和获得资质证书，个人和组织能够提高其信息安全应急处理的水平和能力，有效应对各类安全事件的挑战。

本文将深入探讨信息安全应急处理资质证书机构的定义和作用。

首先，我们将对资质证书机构进行界定，并阐述其发展背景和目标。

其次，我们将分析信息安全应急处理的重要性，探讨它对于企业和组织的意义和价值。

最后，我们将论述信息安全应急处理资质证书机构的必要性以及推动信息安全行业发展的作用。

通过本文的阐述，读者将对信息安全应急处理资质证书机构有更为清晰的认识，了解其在信息安全领域的重要作用，为个人和组织的安全保障提供有效支持。

同时也可以促进信息安全行业更好地发展，建立起更加健全的培训和认证体系。

接下来，我们将深入探讨资质证书机构的定义和作用，以期为读者提供更全面和深入的了解。

1.2 文章结构本文主要介绍了信息安全应急处理资质证书机构的重要性和作用。

文章分为三个部分，即引言、正文和结论。

引言部分首先概述了本文的内容，并介绍了信息安全应急处理资质证书机构的背景和意义。

接着，提出了本文的目的，即探讨信息安全应急处理资质证书机构的必要性和推动信息安全行业发展的作用。

信息安全应急处理服务资质申请条件哎呀，说到信息安全，真的是个大话题，特别是现在这网络上水深火热的时代，搞不好就掉进了“黑洞”里。

你知道吗？很多公司为了保护自己的数据和客户的隐私，都开始申请一些资质，想要在信息安全这条路上走得更稳。

这不，咱们今天就来聊聊这些申请条件，简单易懂，保证让你听了也能点头称是。

资质申请可不是随便就能来的。

想要入行，得先把自己的“家底”给理顺。

这个“家底”可包括公司的规模、业务范围，还有团队的技术水平。

毕竟，信息安全可不是小打小闹的事情，要是你的团队连基本的网络知识都不懂，那可真是“自讨苦吃”了。

哎，想象一下，团队成员在打电脑的时候，连开机都不知道该怎么做，那还不如直接关门大吉呢。

资金方面也得准备好。

申请信息安全资质可不是个小数目，光是各种认证费用就得掏出不少银子。

这可不是“抠门”的地方，毕竟，安全问题可不是开玩笑的。

想要在这个行业站稳脚跟，投入是必须的，省吃俭用也要把钱花在刀刃上。

俗话说得好，“一分耕耘，一分收获”，投资越多，回报也越大。

文件材料准备也是个大工程。

你得准备各种各样的资料，包括企业的营业执照、税务登记证，还有相关的技术文档。

资料整理得越齐全，审核的时候就越顺利。

就好比考试前复习，准备得越充分，心里越有底。

想想看，如果审核员翻看你的材料，看到一堆凌乱的文件，那心情可想而知，估计直接就想甩手不干了。

再说说团队的专业培训，申请信息安全资质，团队成员的能力必须过关。

你可不能指望一群小白来搞定这些复杂的安全问题。

培训、学习、考证，都是必不可少的。

团队成员之间的技术交流也能提升整个团队的水平，就像“你中有我，我中有你”，大家互帮互助，才能在这条路上越走越远。

说到这里，别忘了还要关注法律法规。

信息安全可不是随便就能搞的，得了解国家的相关法律法规，做到合法合规。

毕竟，干违法的事，那就真的是自掘坟墓了。

现在各国对数据保护的重视程度都越来越高，一不小心就会踩雷。

还记得那句老话吗？“不怕一万，就怕万一”，这在信息安全领域绝对是个警钟。

信息安全应急处理服务资质认证证书
信息安全应急处理服务资质认证证书是一种针对信息安全应急处理服务的认证，旨在评估和确认组织或公司在信息安全应急处理方面的能力。

该认证主要考察组织或公司是否具备及时响应和处理信息安全事件的能力，以及是否能够有效地恢复和维护信息系统的安全和稳定。

获得信息安全应急处理服务资质认证证书的组织或公司需要满足以下要求：
建立完善的信息安全管理体系，包括信息安全策略、目标和标准，以及信息安全培训和意识教育等。

建立完善的信息安全事件响应机制，包括安全事件监测、报告和处置流程，以及安全事件归档和汇报等。

具备专业化的信息安全技术团队，包括安全分析、漏洞扫描、入侵检测、事件响应和恢复等。

具备完善的信息安全应急预案和演练机制，包括备份、恢复和演练等。

遵守相关法律法规和标准要求，包括信息安全法规、标准和技术规范等。

获得信息安全应急处理服务资质认证证书的组织或公司可以获得
以下优势：
提高组织或公司的信息安全应急处理能力，减少信息安全事件的发生和影响。

增强组织或公司的市场竞争力，提高其信誉度和声誉。

符合相关法律法规和标准要求，减少组织或公司的法律风险和合规风险。

提升组织或公司的信息安全管理和保护水平，提高信息资产的安全性和可靠性。

获得信息安全应急处理服务资质认证证书对于组织或公司来说是非常重要的，它可以提高组织或公司的信息安全管理和保护水平，增强市场竞争力，提高信誉度和声誉，减少法律风险和合规风险，提高信息资产的安全性和可靠性。

第七届CNCERT网络安全应急服务支撑单位申请书申请单位：（加盖公章）申请级别：申请日期：国家互联网应急中心(CNCERT)制填写须知申请单位在正式填写本申请书前，需认真阅读并理解以下内容：1、申请单位应仔细阅读选拔公告和填表须知，按照要求如实、详细地填写本申请书的各项内容，请尽量提供关键信息，避免过多无用信息，适当控制篇幅。

2、申请单位应按照本申请书规定格式进行填写、打印，保持内容的完整性，所提供资料须客观、真实和完整，内容不得涉及国家秘密。

3、提交方式及时间如下：申请国家级支撑单位，需提供电子版和纸质版各一份至国家中心。

申请省级支撑单位，需提供电子版和纸质版各一份至有意愿的省分中心。

电子版须用光盘刻录，文档命名方式为“申请级别-申请单位名称-支撑单位申请书”，纸质版须打印装订成册并编目，其中要求盖章的地方，必须加盖公章、骑缝章。

纸质版与电子版材料内容必须一致。

截止时间为：2017年3月21日。

4、部分附件或证明材料如需复印或扫描，请确保内容清晰无缺失。

5、C NCERT承诺将对申请单位所提交的涉及商业秘密的材料予以保密。

承诺书我单位自愿参加由国家计算机网络应急技术处理协调中心（CNCERT）举办的第七届CNCERT网络安全应急服务支撑单位选拔活动,承诺在此期间所提交的材料和信息全部真实、准确，纸质版和电子版内容完全一致，并将按照CNCERT要求配合做好选拔有关工作。

如发现有虚假信息或故意隐瞒情况，CNCERT有权取消我单位申请资格或支撑单位称号，由此引起的一切不良后果由我单位自行承担。

承诺单位（盖章）：负责人（签字）：年月日一、申请单位联系方式填写说明：请按下表填写本单位负责人、申请联系人及入选后日常联系人的联系方式。

二、申请单位基本情况填写说明：请按下表填写本单位基本情况。

并以附件形式提供法律地位证明（例如独立法人证书、营业执照、组织机构代码证等）、办公场所证明（例如办公场所产权证、租赁合同关键页等）、资产状况说明、近三年来业绩说明、财务资信证明（财务审计报告等）等材料。