下载文档原格式
国家信息安全服务资质(一)国家信息安全服务资质是什么国家信息安全服务资质(以下简称资质)是指在国家信息安全监管机构审核认定并授权的情况下,有能力提供信息安全服务的企业、机构或个人所拥有的身份认证标识,同时也是信息技术服务专业资质认定的一种形式之一。
资质的颁发主要由国家信息安全主管部门对安全相关企业进行资格审核并给予认证,同时对资质认证通过的企业进行动态监管、检查,确保其提供的服务符合国家法规、技术标准等相关要求。
资质的建立和发展,旨在确保信息安全服务机构的公信力、合法性和水平,推动信息安全服务市场的健康发展,为互联网企业和用户提供可靠、高质量的信息保障服务。
(二)资质的种类及认定依据目前,国家信息安全服务资质认证主要分为三大类型:信息安全服务企业资质认定、信息安全评测机构资质认定和信息安全化技术产品评测认证。
每种类别都分为不同等级,包括三星级、四星级、五星级等不同级别。
资质的认定依据主要包括以下几方面:1.安全技术力量:包括安全专业人员的数量、从业经验、职业背景、培训水平和专业知识等,以及企业的安全技术能力,包括所使用的各种信息安全技术产品和服务的安全性、可靠性、稳定性和创新性等方面。
2.业务能力和服务水平:包括企业的业务范围、服务内容、服务水平、安全保障能力等方面。
3.规范制度和管理水平:包括企业的制度建设、管理体系、质量保证机制、协调配合能力、安全保障措施等方面。
4.商业信誉度:包括企业的商业信誉、社会形象、市场地位、经营管理模式、企业文化等。
通过审核认证,资质获得者将获得政府认定的信息安全服务资质标识,提升企业的公信力和市场优势,同时也更好地满足用户对信息安全服务领域的需求。
(三)资质的重要性与作用资质是信息安全服务机构的准入门槛,具有重要的战略地位和积极作用。
一方面,资质认定确保了国内信息安全服务机构的合法性、规范性和安全性,提高了安全服务的质量和信誉,保护了用户的利益。
另一方面,它也促进了整个信息安全服务市场的健康、有序发展,降低了行业风险和不良竞争,推动了中国信息安全产业的快速发展。
信息安全服务资质认证
监督审核通知单
:
您好,贵组织已获中国网络安全审查技术与认证中心颁发的:
安全集成服务资质级认证证书(获证日期:年月日)
应急处理服务资质级认证证书(获证日期:年月日)
风险评估服务资质级认证证书(获证日期:年月日)
安全开发服务资质级认证证书(获证日期:年月日)
安全运维服务资质级认证证书(获证日期:年月日)
灾难备份与恢复服务资质A类级认证证书(获证日期:年月日)灾难备份与恢复服务资质B类级认证证书(获证日期:年月日)网络安全审计服务资质级认证证书(获证日期:年月日)
工业控制系统安全服务资质级认证证书(获证日期:年月日)根据《信息安全服务资质认证实施规则》的要求,贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。
请在十个工作日内,将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。
另外,请在贵方计划的审核日期两个月之前提交自评估材料(例如:如果计划在9月10日接受审核,自评估材料需在7月10日之前提交至中心,自评估表在“,自评估表及其附件要求的证明材料只接收电子版)。
如贵组织申请的认证类别和级别发生变化,针对有变化的认证类别需重新填写申请书和自评估表。
联系人:彭琳赓;联系电话:/4648
联系地址:北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。
收款账户:户名:中国信息安全认证中心;
开户行:中信银行北京国际大厦支行
账号:7
特此通知。
中国网络安全审查技术与认证中心
年月日
回执。
CCRC信息安全服务资质申请条件:
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
CCRC认证的办理条件
三级:
(1)独立法人,公司成立不少于6个月:
(2)社保不少于10人;其中本科毕业满6年左右(最好是计算机相关专业)的不少于1人:
(3)项目要求:申请公司需要提供至少1个对应方向近3年内签订并完工的项目合同,并提供该项目的验收报告、发票及银行回单:
(4)营业执照范围:与申请方向相对应的范围,如申请【软件安全开发】须有“软件开发”等字眼,【安全集成】须有“集成”等字眼,【安全运维】须有“运维服务或计算机技术服务”等字眼。
二级:
(1)独立法人,公司成立不少于3年或取得3级不少于1年;
(2)社保不少于25人:其中本科毕业6年左右(最好是计算机相关专业)的不少于1人:(3)项目要求:初次申请,申请公司需要提供至少6个对应方向近3年内签订并完工的项目合同,并需提供对应项目的验收报告、发票及银行回单:监督申请,申请公司需要至少2个对应近1年内签订并完工的项目合同,并需提供对应项目的验收报告、发票及银行回单:(4)有相关的技术工具。
(如运维工具、漏洞扫描工具、配置管理工具等);
(5)取得ISO9001、ISO27001或ISO20000证书;(或提供9001、27001或20000的整套管理体系文件):
(6)营业执照范围:与申请方向相对应的范围,如申请【软件安全开发】须有“软件开发”等字眼,【安全集成】须有“集成”等字眼,【安全运维】须有“运维服务或计算机技术服务”等字眼。
信息系统安全集成服务资质一级清单摘要:1.信息系统安全集成服务资质一级的定义与意义2.获得一级资质的企业需满足的条件3.一级资质在信息系统建设中的应用范围4.我国相关政策对一级资质的管理与评审5.拥有一级资质的企业举例6.如何申请一级资质正文:信息系统安全集成服务资质一级是指在信息系统安全集成服务领域具有最高资质等级的企业。
一级资质不仅是对企业技术实力的肯定,还代表着企业在信息系统安全集成服务领域的卓越能力和丰富经验。
获得一级资质的企业需满足一定的条件,包括企业变革发展历程清晰、产权关系明确、具有独立承担国家级、省(部)级、行业级、地(市)级等各类计算机信息系统建设的能力等。
此外,企业还需通过严格的评审和审查程序,以确保其技术实力和服务质量达到一级资质的标准。
一级资质在信息系统建设中的应用范围非常广泛,包括国家级、省(部)级、行业级、地(市)级等各类计算机信息系统建设。
具备一级资质的企业具有独立承担这类项目的能力,能为客户提供更高品质的信息系统安全集成服务。
我国相关政策对一级资质的管理与评审有着严格的要求,以确保资质证书的真实性和有效性。
信息产业部负责安排合格的评审机构进行一级资质的评审和审查,而地方评审机构则负责三级和四级资质的评审事宜。
目前,我国已有一些企业同时拥有系统集成一级资质、信息安全服务资质(安全工程类一级)和涉秘计算机系统集成甲级资质,这些企业无疑是信息系统安全集成服务领域的佼佼者。
若要申请一级资质,企业需向信息产业部门提交申请,并通过评审机构进行的严格评审。
只有具备一定实力和条件的企业才能成功获得一级资质,从而在信息系统安全集成服务市场中脱颖而出。
总之,信息系统安全集成服务资质一级是企业在信息系统安全集成服务领域取得的最高资质,它代表着企业的技术实力和优质服务。
信息安全服务资质申请书安全开发类一级尊敬的部门领导:您好!我代表我所在的公司,特向贵部门申请信息安全服务资质,希望能够获得安全开发类一级资质,以便更好地为客户提供可靠的信息安全服务。
一、公司概况我公司成立于XXXX年,注册资本XXX万元,专注于信息安全服务。
多年来,我们致力于研究与开发符合行业标准、高效可靠的信息安全技术,为众多客户提供全面的信息安全解决方案。
目前,公司在信息安全领域积累了丰富的经验,拥有一支专业技术团队和高素质员工队伍。
二、业绩展示我公司在过去的XXXX年里,在信息安全服务领域取得了一系列令人瞩目的成绩。
以下是我们的一些代表性项目:1. 项目一:XXX公司合作时间:XXXX年至今项目描述:为XXX公司提供全面的信息安全服务,包括安全开发、漏洞扫描、安全评估等。
通过我们的服务,有效地保护了XXX公司的数据安全和业务稳定。
2. 项目二:XXX银行合作时间:XXXX年至今项目描述:为XXX银行提供安全开发类的信息安全服务,包括安全运维、应急响应、安全培训等。
凭借我们的专业技术和贴心服务,公司与XXX银行建立了长期稳定的合作关系。
除此之外,我们还与多家知名企事业单位合作,积累了丰富的行业经验,得到了广泛的好评。
三、技术实力和专业能力为了能够为客户提供高质量的信息安全服务,我公司一直重视技术实力和专业能力的培养。
我们拥有一支经验丰富的技术团队,他们精通各类信息安全技术,能够应对复杂的安全威胁和攻击。
同时,我们还与多家行业内的研究机构和高校合作,保持与前沿技术的接轨,并不断创新和完善我们的产品和服务。
四、安全管理体系为了确保信息安全服务的高质量和可靠性,我公司建立了完善的安全管理体系,旨在规范公司内部的信息安全工作。
我们严格遵循相关安全标准和法规,注重风险管理和合规性,致力于为客户提供安全可靠的服务。
五、进一步的努力我公司将继续加强自身的技术实力和专业能力,不断进行技术创新和产品升级,为客户提供更加先进、高效的信息安全服务。
一、申请单位基本信息单位名称:XX科技有限公司法定代表人:张三注册资本:1000万元成立日期:2012年5月10日注册地址:XX省XX市XX区XX路XX号办公地址:XX省XX市XX区XX路XX号经营范围:软件开发、系统集成、网络安全技术服务、安全产品销售。
二、申请安全资质类别及原因申请类别:网络安全服务资质二级申请原因:随着信息技术的飞速发展,网络安全问题日益凸显,我国政府高度重视网络安全,相继出台了一系列政策法规,要求各类企业加强网络安全建设。
为响应国家政策,提升公司网络安全服务能力,满足客户需求,我公司特申请网络安全服务资质二级。
三、公司网络安全管理现状1. 组织架构:公司设有专门的信息安全管理部门,负责公司网络安全战略规划、制度建设、技术支持、应急响应等工作。
部门下设安全顾问、安全工程师、安全运维等岗位,形成完善的网络安全管理体系。
2. 制度建设:公司根据国家相关法律法规,结合自身业务特点,制定了《网络安全管理制度》、《信息安全事件应急预案》等一系列规章制度,确保网络安全工作有章可循。
3. 技术保障:公司投入大量资金购置网络安全设备,包括防火墙、入侵检测系统、漏洞扫描系统等,并定期进行安全加固和更新。
同时,公司拥有一支专业的网络安全技术团队,负责网络安全设备的运维和日常巡检。
4. 人员培训:公司定期组织员工参加网络安全培训,提高员工的安全意识和技能。
同时,鼓励员工参加国内外网络安全竞赛,提升公司在网络安全领域的竞争力。
四、申请资质所需的证明材料1. 公司营业执照副本复印件。
2. 法定代表人身份证复印件。
3. 公司组织机构代码证复印件。
4. 公司税务登记证复印件。
5. 公司章程复印件。
6. 公司网络安全管理制度复印件。
7. 公司网络安全设备清单及配置信息。
8. 公司网络安全技术人员资格证书复印件。
9. 公司参与网络安全项目案例证明材料。
10. 公司近三年网络安全事件处理记录。
11. 其他相关证明材料。
申请编号:信息系统灾难备份与恢复服务资质认证申请书(第1版)申请组织(盖章):申请日期:中国信息安全认证中心制目录填表须知 (1)申请信息 (2)1.申请组织基本情况 (3)2.申请组织业绩要求 (3)3.申请组织从事信息系统灾难备份与恢复服务人员情况 (3)4.申请组织管理情况 (4)5.申请组织设备、设施与环境情况 (4)6.申请组织信息系统灾难备份与恢复技术能力 (5)7.信息系统灾难备份与恢复服务过程要求 (5)7.1 方案设计与验证 (5)7.2 系统建设实施与管理 (6)7.3 预案制定与演练 (6)7.4 教育与培训 (6)7.5 风险分析 (6)7.6 业务影响分析 (6)7.7 策略制定和方案设计 (6)7.8 系统运行支持 (7)7.9 外部组织协作 (7)7.10 灾难恢复演练 (7)7.11 灾难备份中心运维 (7)7.12 灾备系统建设 (7)7.13 基础设施运维管理 (8)7.14 预案开发与维护 (8)7.15 灾难恢复演练 (8)7.16 应急与切换 (8)7.17 服务商管理 (8)申请组织声明 (1)附表1 (1)附表2 (2)附表3 (3)填表须知申请组织在正式填写本申请书前,需认真阅读以下内容:1.申请组织应仔细阅读ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》和GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》,并按照具体要求如实、详细地填写申请书。
2.申请组织应按照本申请书规定的格式进行填写。
若表格空间不够,可另加附页。
3.申请组织需提交《信息系统灾难备份与恢复服务资质认证申请书》(含附件及证明材料)纸版一份,并按要求加盖单位公章,同时提交一份对应的电子文档(刻录光盘或U盘)。
申请信息1.申请组织的性质□ A类(不含外资背景)□ B类(外资背景)2.申请类型□初次认证□再认证□变更认证3.申请服务资质级别□一级□二级□三级1.申请组织基本情况申请组织全称(中文):申请组织全称(英文):法定代表人姓名:联系人姓名:职务:地址:邮政编码:电子邮箱:网址:联系方式:电话:传真:手机:本项还需提交以下资料:1)申请组织基本情况介绍;2)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件;3)申请组织机构代码证或副本的复印件,税务登记证复印件;;4)近两年财务审计报告及资产运营情况说明;5)固定办公场所证明材料,如房产证明或房屋租赁合同复印件等;6)从事信息安全服务、信息系统集成服务等相关资质证书复印件。
国家信息安全测评信息安全服务资质申请书
尊敬的部门:
我单位拟向贵部门申请国家信息安全测评信息安全服务资质,现将相关申请材料递交如下:
一、申请单位基本信息:
单位名称:
统一社会信用代码:
注册地址:
法定代表人/负责人姓名及职务:
二、申请单位基本情况:
1.单位性质:
2.单位属性:
3.单位规模:
4.是否具备相应的人员和技术设备:
5.近三年内是否存在过信息安全事件:
-若存在,请提供处理情况和应对措施;
6.是否具备信息安全应急处理能力:
-若具备,请提供相应的应急处理能力介绍材料。
三、申请资质级别:
请根据贵部门相关规定,选择适应的资质级别进行申请。
四、信息安全测评服务:
1.请提供单位在信息安全测评领域的相关经验和业绩:
-包括承接过的测评项目、合作单位、标的企业等;
2.请提供单位的信息安全测评人员情况:
-包括人员资质、从业年限、技术能力等;
3.请提供单位的信息安全测评设备和工具情况:
-包括设备设施完备性、工具使用证书等;
4.请提供单位信息安全测评服务的流程和方法:
-包括测评流程、测评方法、报告编写等。
五、其他附件:
请在此列出所有随申请书递交的其他附件,如资质证书、公司章程等。
编号:国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位(公章):填表日期:©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全工程类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
国家信息安全测评信息安全服务资质申请指南(安全工程类一级)©版权2008—中国信息安全测评中心2008年8月1日一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 安全工程过程能力要求 (7)3.4 项目和组织过程能力要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4能力测评阶段 (9)4.4.1静态评估 (9)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (10)4.5证书发放阶段 (10)五、监督、维持和升级 (11)六、处置 (11)七、争议、投诉与申诉 (11)八、获证组织档案 (12)九、费用及周期 (12)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:1.为信息技术安全性提供测评服务;2.信息安全漏洞分析;3.信息安全风险评估;4.信息技术产品、信息系统和工程安全测试与评估;5.信息安全服务和信息安全人员资质测评;6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
编号:国家信息安全测评信息安全服务资质申请书(安全开发类一级)申请单位(公章):填表日期:©2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位近三年资产运营情况 (7)四、申请单位人员情况 (8)五、申请单位技术能力基本情况 (8)六、申请单位安全开发过程能力 (8)6.1安全意识和安全教育 (8)6.2启动安全开发过程 (8)6.3产品风险评估和分析 (8)6.4定义安全设计原则 (8)6.5提供安全文档和安全配置工具 (8)6.6进行安全编码 (8)6.7进行安全测试 (8)6.8安全最终评审与产品发布 (8)6.9安全响应服务 (8)七、申请单位的项目和组织过程能力 (8)7.1实现质量保证的能力 (8)7.2实现配置管理的能力 (8)7.3管理项目风险的能力 (8)7.4规划项目技术活动的能力 (8)7.5监控技术活动的能力 (8)7.6提供不断发展的知识和技能的能力 (8)7.7与供应商协调的能力 (8)八、申请单位安全服务项目汇总 (8)九、申请单位获奖、资格授权情况 (8)十、申请单位在安全开发服务方面的发展规划 (8)十一、申请单位其他说明情况 (8)十二、申请单位附加信息 (8)申请单位声明 (8)填表须知用户在正式填写本申请书前,须认真阅读并理解以下容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
6.本申请书要求提供的附件及证明材料须单独装订成册并编目。
提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。
7.如有疑问,请与中国信息安全测评中心联系。
中国信息安全测评中心地址:市海淀区上地西路8号院1号楼邮编:100085:(010)82341188或82341118传真:82341100网址:电子:申请表中国信息安全测评中心:我单位正式提出信息安全服务资质申请,并保证将按照信息安全服务资质的要求,提供所需的所有真实信息,并配合资质审核活动。
1.申请服务类型□A类(不具有外资背景)□B类(具有外资背景)2.申请服务容□安全开发(信息技术产品开发、信息系统应用模块开发等)3.申请类型□初次申请□再次申请,第次申请□级别变更(原资质级别:□一级□二级□三级□四级□五级)注意:除第二项外其余各项均为单选。
申请单位(盖章):申请日期:年月日一、申请单位基本情况申请单位全称(中文):申请单位全称(英文):注册地址:办公地址:邮政编码法定代表人:职务:联系人:职务:电子:联系方式:()传真()手机()工商登记注册号(附申请单位法人营业执照副本或上级主管部门批准成立文件复印件):法人机构代码(附法人机构代码证副本复印件):以获的国家信息安全服务资质证书(附资质证书复印件):其他重要的法律文件:二、申请单位概况本项应包括以下容:1.描述单位基本情况(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等);2.申请单位组织结构图;3.申请单位部门职能文字描述(包括与信息技术开发活动有关的日常管理、技术研发、质量保证、客户服务、人力资源管理与培训、合同管理等)。
三、申请单位近三年资产运营情况本项应包括以下容:1.申请单位近三年资产运营情况(加盖公章)(表3-1);2.近三年审计报告与信用等级证明材料(若无审计报告请提供加盖公章的资产负债表和损益表);3.财务亏损或其它异常状况发生请提供证明材料。
申请单位近三年资产运营情况表四、申请单位人员情况本项应包括以下容:1.申请单位负责人情况(表4-1);2.申请单位技术负责人情况(表4-2);3.申请单位开发负责人情况(表4-3);4.以上人员的任职、学历、职称、业绩证明材料复印件;5.开发技术人员(表4-4);6.开发测试人员(表4-5);7.提供已有CISP(CISE或CISD)资格人员的CISP证书复印件。
申请单位负责人情况表申请单位技术负责人情况申请单位开发负责人情况开发技术人员基本情况开发测试人员基本情况五、申请单位技术能力基本情况本项包括以下四项容:1.自主开发产品情况(表5-1);2.工作环境设施情况(表5-2);3.常用安全开发工具情况(表5-3);4.开发测试(包括安全测试)环境情况(表5-4)5.安全服务情况(表5-5)。
申请单位技术能力基本情况表六、申请单位安全开发过程能力本项应包括以下九项容:1.安全意识和安全教育;2.启动安全开发过程;3.产品风险评估和分析;4.定义安全设计原则;5.提供安全文档和安全配置工具;6.进行安全编码;7.进行安全测试;8.安全最终评审与产品发布;9.安全响应服务。
6.1 安全意识和安全教育本项要求:1.详细描述申请单位是如何提高开发团队在开发过程中的安全意识并进行安全教育的;2.提供一份具体开发项目相应的安全培训或安全教育文档、记录。
表6-16.2 启动安全开发过程本项要求:1.详细描述申请单位是如何启动安全开发过程的;2.提供一份具体开发项目的安全开发过程规划文档或记录等。
表6-26.3 产品风险评估和分析本项要求:1.详细描述申请单位是如何进行产品风险评估和分析的;2.提供一份具体开发项目中产品风险评估和分析过程文档或记录等。
表6-36.4 定义安全设计原则本项要求:1.详细描述申请单位是如何定义开发过程的安全设计原则的;2.提供一份具体开发项目的定义安全设计原则有关文档或记录等。
表6-46.5 提供安全文档和安全配置工具本项要求:1.详细描述申请单位是如何创建安全文档和开发安全配置工具的;2.提供一份具体开发项目创建的安全文档或安全配置工具开发文档或记录等。
表6-56.6 进行安全编码本项要求:1.详细描述申请单位是如何进行安全编码的;2.提供一份具体开发项目的安全编码有关过程文档或记录等。
表6-66.7 进行安全测试本项要求:1.详细描述申请单位是如何进行安全测试的;2.提供一份具体开发项目的安全测试有关文档或记录等。
表6-76.8 安全最终评审与产品发布本项要求:1.详细描述申请单位是如何进行安全最终评审和发布产品的;2.提供一份具体开发项目的安全最终评审和发布产品有关文档或记录的等。
表6-86.9 安全响应服务本项要求:1.详细描述申请单位是如何开展产品安全响应服务的;2.提供一份具体开发项目产品安全响应服务的相应文档、记录等。
表6-9七、申请单位的项目和组织过程能力本项应包括以下八项容:1.实现质量保证的能力;2.实现管理配置的能力;3.管理项目风险的能力;4.规划技术活动的能力;5.监控技术活动的能力;6.提供不断发展的知识和技能的能力;7.与供应商协调的能力。
7.1 实现质量保证的能力本项要求:1.详细描述组织是如何实现质量保证的;2.提供组织实现质量保证的相应文档、记录。
表7-17.2 实现配置管理的能力本项要求:1.详细描述组织是如何进行管理配置的,包括维持已标识的配置单元的数据和状况,并对系统及其配置单元的变化进行分析和控制;2.提供对整个系统进行管理配置的相应文档、记录。
表7-27.3 管理项目风险的能力本项要求:1.详细描述组织是如何管理项目风险的;2.提供管理项目风险的相应文档、记录。
表7-27.4 规划项目技术活动的能力本项要求:1.详细描述组织是如何规划技术活动的,包括关键资源的识别,项目费用估算,确定工程过程,定义项目接口,项目进度计划等活动;2.提供关于进行规划技术活动的相应文档、记录。
表7-37.5 监控技术活动的能力本项要求:1.详细描述组织是如何进行监控技术活动的,包括技术活动指导,项目资源的跟踪,问题分析等;2.提供关于进行监控技术活动的相应文档、记录。
表7-47.6 提供不断发展的知识和技能的能力本项要求:1.详细描述组织是如何提供不断发展的知识和技能的;2.提供关于提供不断发展的知识和技能的相应文档、记录。
表7-57.7 与供应商协调的能力本项要求:1.详细描述组织是如何与供应商协调的;2.提供关于如何与供应商协调的相应文档、记录。
