安全服务资质申请资料清单范本.xls

1、基本要求(广东）一级资质二级资质三级资质详详细细要要求求安安全全服服务务资资质质风风险险评评估估服服务务资资质质申请组织基本情况1)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件；2)法人机构代码证或副本的复印件；3)从事信息安全风险评估服务的相关资质证书复印件；4)符合国家保密管理部门要求的证明材料；5)提供近两年的资产运营情况，财务审计报告；如有财务亏损或其他异常状况发生，并提供相应的证明材料；6)申请组织的固定办公场所证明材料；7)申请组织部门职能申请组织从事信息安全风险评估服务的人员情况1)信息安全风险评估服务相关人员汇总表（附表1）；2)组织负责人情况（附表2）；3)技术

2、负责人情况（附表2）；4)风险评估服务负责人情况（附表2）；5)质量管理负责人情况（附表2）；6)主要信息安全风险评估服务人员情况（附表2）；7)注册安全认证人员的证书复印件；8)主要服务人员的任职、学历、职称、业绩证明材料复印件；9）信息安全风险评估服务人员签订的保密协议复印件；申请组织管理情况1)确保客户信息安全、可控的管理规定；2)人员保密管理要求，保密岗位与职责，对服务人员进行保密教育与培训的计划及落实情况；3)人员管理规定，包括人员在任用之前、任用中、任用的终止或变更的管理要求及对服务人员的风险评估技能培训计划及落实情况；4)服务项目的管理制度，风险评估项目计划及监督检查情况；5)项

3、目风险管理要求（一、二级资质要求）及落实情况；6)服务质量持续改进制度及落实情况（一、二级资质要求）；7)信息安全管理体系建设情况的证明材料（一级资质要求）。申请组织设备、设施与环境情况1)风险评估服务需要的主要检测工具清单；2)自开发的风险评估工具列表及功能描述；3)独立的测试与实验环境介绍及必要的软、硬件设备清单。申请组织风险评估服务能力1)风险分析模型，风险计算方法的证明材料；2)风险评估工作流程；3)风险评估操作规范，包括资产识别、威胁评估、脆弱性评估、已有安全措施确认在内的规范文档；4)风险评估方案模板；三级资质5)风险评估报告模板；6）挖掘安全漏洞的证明材料（一、二级要求）准备阶段

4、识别阶段分析阶段处置阶段信信息息安安全全应应急急处处理理服服务务资资质质申请组织基本情况1)申请组织的营业执照/副本或上级主管部门批准成立文件复印件；2)法人机构代码证或副本的复印件；3)从事信息安全应急处理服务的相关资质证书复印件；4)符合国家保密部门要求的工作保密制度或资质的证明材料；5)信息安全应急处理服务人员签订的保密协议复印件；6)其它重要法律文件。申请组织的组织结构与规模1)申请组织与所声称服务区域相适应的组织结构证明材料；2)申请组织部门职能(包括与信息安全应急处理服务相关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述）；3)申请组织

5、的固定办公场所证明材料。申请组织业绩要求1)申请组织信息安全应急处理服务相关人员汇总表（附表1）；2)申请组织负责人情况（附表2）；3)申请组织技术负责人情况（附表2）；4)申请组织应急处理服务负责人情况（附表2）；5)申请组织主要信息安全应急处理服务人员情况（附表2）；6)申请组织注册安全认证人员的证书复印件；7）申请组织主要服务人员的任职、学历、职称、业绩证明材料复印件申请组织设备、设施与环境情况1)申请组织的主要网络安全事件处理工具清单；2)申请组织的研究与实验环境介绍。申请组织项目管理情况1)项目管理制度文档；2)提供证据证明项目管理制度能够成功管理相关资质要求的规模的项目案例；3)项

6、目风险预防或规避制度与措施（申请一级资质需提供）；4)项目监督检查规范。申请组织质量保证要求1)符合相关资质等级要求的质量管理体系文件；2)组织自评估服务质量状况的记录及服务质量持续改进计划；3)提供已建立的信息安全管理体系的证明材料（申请一级资质需提供）。申请组织应急处理时间要求1)应急处理热线、支持岗位及相应人员清单；2)应急处理时间的书面承诺书。申请组织应急处理服务能力1)应急处理服务人员培训计划与培训记录；2)应急处理工作流程和操作规范；安安全全服服务务资资质质3)突发事件应急处理预案；4)符合相关资质等级要求的其它应急处理服务能力证明材料。信息安全应急处理服务过程要求准备阶段检测阶段

7、抑制阶段根除阶段恢复阶段总结阶段申请组织应急处理服务能力（一）具有相应经营范围的营业执照。（二）注册资本1200万元以上，近3年的财务状况良好。（三）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用。（四）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人。（五）安全服务工

8、作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年。（六）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力。（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进。（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。（九）竣工项目均通过验收。（十）无触犯计算机信息系统安全保护等有关法律法规的行为（一）具有相应经营范围的营业执照。（二）注册资本500万元以上，近3年的财务状况

9、良好。（三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用。（四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人。（五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事

10、计算机信息系统安全集成工作不少于4年。（六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力。（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制。（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。（九）竣工项目均通过验收。（十）无触犯计算机信息系统安全保护等有关法律法规的行为。（一）具有相应经营范围的营业执照。（二）注册资本100万元以上，近3年的财务状况良好。（三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30以上（即不低于180

11、万元）；工程按合同要求质量合格，已通过验收并投入实际应用。（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。（五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年。（六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理。（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。（九）竣工项目

12、均通过验收。（十）无触犯计算机信息系统安全保护等有关法律法规的行为。详详细细要要求求1)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件；2)法人机构代码证或副本的复印件；3)从事信息安全风险评估服务的相关资质证书复印件；4)符合国家保密管理部门要求的证明材料；5)提供近两年的资产运营情况，财务审计报告；如有财务亏损或其他异常状况发生，并提供相应的证明材料；6)申请组织的固定办公场所证明材料；7)申请组织部门职能1)信息安全风险评估服务相关人员汇总表（附表1）；2)组织负责人情况（附表2）；3)技术负责人情况（附表2）；4)风险评估服务负责人情况（附表2）；5)质量管理负责人情况（附

13、表2）；6)主要信息安全风险评估服务人员情况（附表2）；7)注册安全认证人员的证书复印件；8)主要服务人员的任职、学历、职称、业绩证明材料复印件；9）信息安全风险评估服务人员签订的保密协议复印件；1)确保客户信息安全、可控的管理规定；2)人员保密管理要求，保密岗位与职责，对服务人员进行保密教育与培训的计划及落实情况；3)人员管理规定，包括人员在任用之前、任用中、任用的终止或变更的管理要求及对服务人员的风险评估技能培训计划及落实情况；4)服务项目的管理制度，风险评估项目计划及监督检查情况；5)项目风险管理要求（一、二级资质要求）及落实情况；6)服务质量持续改进制度及落实情况（一、二级资质要求）；

14、7)信息安全管理体系建设情况的证明材料（一级资质要求）。1)风险评估服务需要的主要检测工具清单；2)自开发的风险评估工具列表及功能描述；3)独立的测试与实验环境介绍及必要的软、硬件设备清单。1)风险分析模型，风险计算方法的证明材料；2)风险评估工作流程；3)风险评估操作规范，包括资产识别、威胁评估、脆弱性评估、已有安全措施确认在内的规范文档；4)风险评估方案模板；1)需求调研报告；2)服务合同、保密协议；3)服务方案；4）配备的人员和工具1)资产识别；2)威胁识别；3)脆弱性识别；4）已有安全措施确认等1)风险分析模型；2)风险计算方法；3)风险分析与评价。1)处置原则；2)安全整改建议；3)

15、组织评审会；4）评审意见。5)风险评估报告模板；6）挖掘安全漏洞的证明材料（一、二级要求）1)申请组织的营业执照/副本或上级主管部门批准成立文件复印件；2)法人机构代码证或副本的复印件；3)从事信息安全应急处理服务的相关资质证书复印件；4)符合国家保密部门要求的工作保密制度或资质的证明材料；5)信息安全应急处理服务人员签订的保密协议复印件；6)其它重要法律文件。1)申请组织与所声称服务区域相适应的组织结构证明材料；2)申请组织部门职能(包括与信息安全应急处理服务相关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述）；3)申请组织的固定办公场所证明材料

16、。1)申请组织信息安全应急处理服务相关人员汇总表（附表1）；2)申请组织负责人情况（附表2）；3)申请组织技术负责人情况（附表2）；4)申请组织应急处理服务负责人情况（附表2）；5)申请组织主要信息安全应急处理服务人员情况（附表2）；6)申请组织注册安全认证人员的证书复印件；7）申请组织主要服务人员的任职、学历、职称、业绩证明材料复印件1)申请组织的主要网络安全事件处理工具清单；2)申请组织的研究与实验环境介绍。1)项目管理制度文档；2)提供证据证明项目管理制度能够成功管理相关资质要求的规模的项目案例；3)项目风险预防或规避制度与措施（申请一级资质需提供）；4)项目监督检查规范。1)符合相关资

17、质等级要求的质量管理体系文件；2)组织自评估服务质量状况的记录及服务质量持续改进计划；3)提供已建立的信息安全管理体系的证明材料（申请一级资质需提供）。1)应急处理热线、支持岗位及相应人员清单；2)应急处理时间的书面承诺书。1)应急处理服务人员培训计划与培训记录；2)应急处理工作流程和操作规范；1)保密协议；2)应急处理服务合同或协议书；3)应急处理服务方案；4)应急处理服务人员及工具清单。1)检测技术规范；2)检测方案及实施检测的记录1)与客户协商制定的问题抑制方法；2)抑制阶段风险规避方案。1)用户认可的事件根除方案；2)根除阶段风险规避方案。1)确定的系统恢复方法；2)验证系统是否正确运行。网络安全事件处理报告。3)突发事件应急处理预案；4)符合相关资质等级要求的其它应急处理服务能力证明材料。