信息安全服务资质申请书(风险评估二级)

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

七、 申请单位的项目与组织管理能力

本项包括以下内容：

1. 风险评估服务管理体系和管理职责； 2. 资源管理； 3. 项目过程管理。

发布日期：2014年5月1日 第 21 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

7.1 管理体系和管理职责

本项包括以下要求：

1. 描述申请单位覆盖“安全风险评估服务”业务的管理体系的建立情况，包括该业务体系建立所依据的标准、体系建立的时间、体系运行情况、相关体系文件的建立情况等。体系中的组织结构图、部门职责、人员岗位与职责等，要有“安全风险评估服务”内容的明确定义；

2. 提供一份完整的管理体系文件，如，质量手册。

发布日期：2014年5月1日 第 22 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

表7－1

管理体系和管理职责情况描述 制定的相关规范包括： 1. 发布日期：2014年5月1日 第 23 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

7.2 资源管理能力

本项包括以下要求：

1. 描述申请单位人力资源、设备资源、信息资源的管理情况，包括是否建立了指导人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档； 2. 描述如何进行资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的；

3. 提供一份人力资源管理、设备资源管理、文件控制管理、保密与所有权保护管理、安全产品和工具采购管理的规范性文档，如，程序文件。

发布日期：2014年5月1日 第 24 页 共 38 页