1、平安效勞組織管理和質量保證能力情況表平安效勞專業水平和質量保證說明每項不越過400字，相關文檔記錄作為附件41評估系統平安威脅的能力描述如何識別系統所面臨的各種平安威脅及其性質和特征，以及對威 脅的可能性進行評估系統平安威脅來自于兩個方面：人為威脅、自然威脅。人為威脅分兩局部：一是由偶然原因引起 的人為威脅；二是由成心行為引起的人為威脅。自然威脅指由自然引起的有關威脅，如地震、海嘯 和臺風等。在效勞工程的相關人員參與下，根據威脅的可能性評估方法和定性標準，經過充分的分 析和評價，進行識別系統所面臨的各種平安威脅，并描述其性質和特征。通過識別工作，找出適宜 的自然威脅列表，對人為威脅應描述其威脅

2、如何發生的，測試其威脅相關事件的可能性。同時進行 評估性工作，如評估由人為原因引起的威脅作用力的技能和效力；評估威脅事件可能性。在評估威 脅事件可能性時，要考慮多種因素，而且注意在不同的平安效勞工程中，各因素出現的概率不同。2、評估系統脆弱性的能力描述如何對系統的脆弱性進行評估，包括所選擇的分析方法、工具，收 集、合成系統的脆弱性數據；提供一份具體工程中關于系統脆弱性評估的相應文檔記錄，包括系統 脆弱性清單、攻擊測試報告等對某一具體系統環境資源和性質分析，根據具體情況識別尋找和提出系統平安脆弱性的方法，包 括分析、報告、跟蹤過程。可定量或定性分析脆弱性；采用分析和測試的方法來識別脆弱性。在選

3、擇脆弱性測試工具時，可考慮使用適宜的掃描產品和國內、國際漏洞庫。通過脆弱性識別，可獲得 系統中的脆弱性清單，以及相應的攻擊測試結果。根據系統環境的具體情況，建立相應的脆弱性數 據庫，同時注意脆弱性的遷移和不確定性。系統中的脆弱性來自于三個方面：實現過程中遺留的漏 洞；設計中遺留的漏洞；配置中留下的漏洞。通過脆弱性評估報告和攻擊報告評估并綜合系統脆弱 性。脆弱性評估報告包括對系統造成問題的脆弱性的定性或定量的描述，這些問題是攻擊的可能性、 攻擊成功的可能性及攻擊產生的影響。攻擊報告指的是對已發現的脆弱性、被開發的潛在可能性和 脆弱性利用的分析過程和結果進行書面總結。具體文檔見附件4之一。3、評估

4、平安對系統的影響的能力描述如何識別平安對所實施的系統的影響，并對發生影響的可能 性進行評估；提供一份具體工程中關于評估平安對系統的影響的相應文檔記錄，如系統優先級清單、 系統資產分析表等影響是意外事件對系統資產產生的后果，可由成心行為或偶然原因引起，可能是有形的或無形的。主要識別和分析系統操縱的運行、業務或任務的影響，并進行優先級區分。同時識別系統資產和它 的運行意義及產品資產和它的運行意義。資產包括系統的人、環境、技術和根底設施，還包括數據 和資源。確定評估影響的度量標準，從資產預算財務本錢、嚴重等級1-10 和根本的描述低、中、高中說明影響的數量、質量。特別在某些影響要使用不同的評估度量標

5、準時，應給出評估度 量標準之間的內在聯系，使得評估的一致性。因此評估影響的標準既要考慮度量標準之間的關系的 清單，又要考慮組合影響度量標準的規那么。利用多重度量標準或統一度量標準的適宜方法對意外影 響進行識別和特征化。該階段給出潛在影響和相關度量的清單。具體文檔見附件4之二。4、評估系統平安風險的能力描述如何識別出一給定環境中涉及到對某一系統有依賴關系的平安風 險；如何對系統的平安風險進行評估，包括選擇風險評估方法、風險優先級排列方法等；提供一份 具體工程中關于評估系統平安風險的相應文檔記錄平安風險評估應在某一準那么限度內進行，有機的建立在脆弱性信息、威脅信息和影響信息的根底 上，注意脆弱性、

6、威脅和影響的相互依存，其目標是尋找認為是足夠危險的威脅、脆弱性和影響的 組合，從而證明相應行動的合理性。根據具體系統環境，選擇用于分析、評估和比擬給定環境中系 統平安風險所依據的方法、技術和準那么，它應該包括一個對風險進行分類和分級的方案，其依據是 威脅、運行效能、已建立系統的脆弱性、潛在損失、平安需求等相關問題。因此應描述對風險進行 識別和特征化的方法，描述風險及其重要性和相關性。已經被識別的風險應以組織的優先級、風險 出現的可能性、與這些因素和可用財力相關的不確定性為依據進行排序。因此需要列出風險優先級 清單和可幫助減輕風險的清單，并對優先級排列的描述。具體文檔見附件4之三。5、確定系統平

7、安需求的能力描述如何明確識別出系統平安要求；提供一份具體工程中關于確定系 統的平安需求的相應文檔記錄，如平安策略、平安目標、平安需求分析報告等通過問卷調查的方式獲得用戶系統平安需求及外部影響如可用的法律、策略、和約束。當識別平安需求出現沖突時，應按最小化原那么加以識別，并在可能條件下予以解決。識別系統的用途， 以識別和定義其平安相關的平安需求，同時了解關聯性的東西是如何影響系統平安性的，定義的相 關平安應與可適用的政策、法、標準及系統的約束條件協調一致。在系統平安需求的約束內進行廣 泛討論，面向高層次平安開發一個規劃圖，其中包括角色、職責、信息流程、資產、人員保護以及 物理保護。在系統運行中，

8、注意平安目標的影響，因此要動態的捕捉平安的高層目標。通過對平安 需求分析，確定平安策略、平安目標。并在各種平安需求之間建立平安協議，從而使它們達成一致。具體文檔見附件4之四。6、確定系統的平安輸入的能力描述如何為系統的規劃者、設計者、實施者或用戶提供他們所需的 平安信息，包括平安體系結構、設計或實施選擇以及平安指南；提供一份具體工程中關于確定系統 的平安輸入的相應文檔記錄，如系統平安體系設計方案，平安模型，各種平安相關的指南等同系統平安設計者、開發者及用戶一起商討，以求對平安需求有一個共同的理解。通過分析以決 定在需求、設計、實現、配置和文檔方面的任何平安限制和考慮。約束在系統生命期內的所有時

9、間 內進行肯定或否認性的識別。對平安相關的需求進行分解、分析和重組，以致識別出有效的解決方 案，同時根據平安約束和需要考慮的問題進行方案分析，并加以區分它們的優先級。開發出與平安 有關的指南，并提供給工程組，平安工程指南包括體系結構、設計和實現建議等。同時為運行系統 的用戶和管理員提供平安相關的指南，本指南告訴用戶和管理員在以平安模式進行安裝、配置、運 行和淘汰系統時必須做些什么，指南在管理員和用戶手冊等文檔表達。本根本實施產生的文檔有： 平安設計準那么、平安實施規那么、平安設計文檔、平安模型、平安體系結構、管理員手冊、用戶手冊 等。具體文檔見附件4之五。7、平安控制管理的能力描述如何保證集成

10、到系統設計中的已方案的系統平安確實由最終系統在運 行狀態下到達。包括建立平安職責，增強所有用戶和管理員的平安意識，開展平安教育培訓，對所 有的平安配置進行管理軟件更新記錄、平安配置修改記錄等；提供一份具體工程中關于進行管理 平安控制的相應文檔記錄建立平安控制的職責和責任并通知到組織中的每一個人，平安的某些方面能夠在常規的管理結構 中進行管理，然而另外一些方面那么需要更專業的管理，建立平安組織圖表，并描述平安角色和平安 職責，并對平安組織中的人員進行授權。對系統平安控制的配置進行管理，如所有軟件更新的記錄、 所有發布中問題的記錄、系統平安配置的修改、平安需求修改等。管理所有的用戶和管理員的平安

11、意識、培訓和教育大綱，因此要根據不同的用戶情況確定平安培訓資料，并跟蹤用戶對組織和系統 平安的理解，不定期的進行用戶培訓，以適應新的平安需要。定期維護和管理平安效勞和控制機制， 如維護和管理日志，定期的維護和管理檢查，跟蹤記錄系統維護方面的問題以便識別需要額外關注 的地方，注意維護和管理的例外，描述敏感信息和敏感介質清單，建立起保證措施，以便信息敏感 性降低或者介質被凈化或處置后，不出現不必要的風險。具體文檔見附件4之六。8、監測系統平安狀況的能力描述如何對平安風險變化、事件記錄、平安防護措施進行監視，并識 別平安突發事件和對平安突發事件進行響應；提供一份具體工程中關于進行監測系統平安狀況的相

12、 應文檔記錄分析各種事件記錄，以確定一個事件的原因及其開展，以及將來可能發生的事件，對每一個事件 進行描述，并建立起日志記錄和來源，對最近的日志加以分析并進行一定的歸納。特別要動態的監 控威脅、脆弱性、影響、風險和環境變化，并在報告中表達，在報告中對變化的意義進行定期評估。 能識別出平安突發事件，定義突發事件并列出突發事件，制定突發事件響應指南，描述出現的突發 事件及其相關詳細情況，包括突發事件的來源、任何形式的危險、應采取的響應和需要進一步采取 的行動，同時報告各種入侵事件，指明入侵事件的來源、任何形式的危險、應采取的響應和需要進 一步采取的行動。檢測平安防護措施的執行情況，以便識別出平安措

13、施執行中的變化。審核系統安 全態勢以識別必要的修改，描述當前平安風險環境、現有的平安態勢和對這兩者是否兼容進行分析， 并通過第三方權威組織認證，通過報告的形式指明在運行的系統中，平安風險是可接受的。由于許 多事件不能預防，因而對破壞的響應能力是十分重要的。為了保證監控活動的可信性，應封存和歸 檔相關的日志、審計報告和相關分析結果。具體文檔見附件4之七。9、平安協調能力描述如何進行平安協調，包括建立各工作組之間以及組內部的協調機制，并確保 其實施的方法；提供一份具體工程中關于進行平安協調的相應文檔記錄確定平安協調的信息共享協議，工作組的成員關系和日程表，描述各工作組之間及用戶之間溝通 平安相關信

14、息的過程和程序。制定工作組間及其與其他團體間的溝通方案，如會議日期、共享的信 息、會議過程和程序，并指明通信的根底設施和標準，同時確定各種文檔的格式，如會議報告、消 息、備忘錄的模板。制定沖突解決規程，以便解決協調中的沖突。描述會議中討論的議題、強調需 要闡述的目標和行動條目，并跟蹤行動條目，即識別工作和工程分解的方案，包括職責、時間表和 優先級。注意在各種平安工程組織、其他工程組織、外部實體和其他適宜的部門中交流的平安決定 和建議。通過會議報告、備忘錄、工作組會議紀要、電子郵件、平安指南或公告牌將有關的決定告 訴有關的工程組；通過會議報告、備忘錄、工作組會議紀要、電子郵件、平安指南或公告牌將

15、有關 的建議告訴有關的工程組。具體文檔見附件4之八。10、檢測和證實系統平安性的能力描述如何檢測和證實系統的平安性，包括檢測或證實系統平安 性的方法和工具；提供一份具體工程中關于檢測和證實系統平安性的相應文檔記錄，如測試方案， 檢測結果，檢測報告等通過觀察、論證、分析和測試，因此解決方案依照平安需求、體系結構和設計得到驗證，即證明 了解決方案是有效的。解決方案依照用戶的運行證實了平安需求，即證明了解決方案被正確的實施。 定義驗證和證實工作，包括資源、進度表、驗證和證實的工作產品。采用測試和分析的方法驗證和 證實系統平安，同時定義測試每種解決方案時采取的步驟，并清楚什么樣的驗證和證實結果才能滿

16、足用戶的平安需求和需要。注意各種方法和工具得到的原始數據及在驗證解決方案滿足需求過程中 發現的矛盾。在證實過程中，要將發現的矛盾寫入問題報告，注意解決方案不能滿足平安的地方， 并能找出不能滿足用戶平安需求的解決方案。將測試結果記入測試結果文檔，也要將平安需求映映 射到解決方案的需求，映射到測試和測試的結果。在檢測或證實系統平安性時，可使用平安工具和 工程管理工具。具體文檔見附件4之九。11、建立系統平安的保證證據的能力描述如何建立系統平安的保證證據，包括對保證的目標進行 識別、建立保證證據庫并對其進行分析等；提供一份具體工程中關于進行建立系統平安的保證證據 的相應文檔記錄由開發者、集成者、用戶

17、和簽名授權者確定平安保證目標，同識別新的和經修改的平安保證目標, 在描述和定義平安保證目標時，平安保證目標必須清晰地交流溝通以防止歧義，如有必要應做出適 當的解釋或進行開發。為了規劃并確保正確地和強制性地實現平安目標，應定義一個平安保證策略, 對滿足用戶平安目標的規劃進行描述并識別應負責的責任方。識別并控制平安保證證據，建立平安 保證倉庫，用于存儲開發、測試和使用期間產生的所有證據，可考慮使用數據庫、工程筆記本、測 試結果、證據日志記錄的形式。對數據倉庫中的平安保證證據進行分析，從而識別和概述證據倉庫 中證據的強度和弱點。開發出一個完整的并被證明與平安目標一致的平安保證目標，并將其提交給 用戶

18、。具體文檔見附件4之十。12、如何實現質量保證描述如何實現質量保證；提供組織實現質量保證的相應文檔記錄記錄來自對已定義系統工程的偏離及其所造成的影響。以書面或在線的形式發布質量手冊。 采用適宜的測試手段，進行平安工程或平安效勞質量評估，并對平安工程或平安效勞質量進行 有效的認證。特別注意測試系統工程過程的質量，在過程質量認證中，可采用過程流圖，對過 程參數進行統計學控制。采用偏差分析、失效分析、缺陷報告、系統質量趨勢、因果圖等方法， 對質量分析方法進行有效的分析。在識別和報告質量問題中得到員工的參與，建立過程行動組、 質量保證組、質量問題報告渠道。應啟動質量改善活動，提出改善系統工程過程的建議

19、，制定 改善方案和過程修訂方案及內容。建立一個或一套機制來探測對過程或平安工程或平安效勞進 行矯正活動的需求，并將各種故障寫入報告。具體文檔見附件4之十一。13、如何對整個系統進行管理配置描述如何進行管理配置，包括維持已標識的配置單元的數據和 狀況，并對系統及其配置單元的變化進行分析和控制；提供對整個系統進行管理配置的相應文檔記 錄指明作為配置管理的指南，選擇和描述配置管理過程。在選擇配置管理單元時的原那么是兼顧開發 者和用戶均可受益，且不要給開發人員造成過度的管理負擔，即具有可操作性，識別出用戶單元。 維護工作產品基線的知識庫，使用決策數據庫和可跟蹤性模板。控制對已建立的配置單元的更改， 跟

20、蹤每一個配置單元的配置，審批新的配置，必要時還要對基線升級換代。被修改正的配置單元在 經過審核和有了正式的審批手續后發布，所有的修改只有在發布以后才正式生效。將配置數據狀態、 建議的更改和訪問信息通知到受影響的組，狀態報告應該包括處理配置單元接受更改后的信息，以 及由于該變化而受到影響的相關人員。具體文檔見附件4之十二。14、如何管理工程風險描述如何管理工程風險；提供管理工程風險的相應文檔記錄開發一個風險管理活動方案，作為在工程生命期內識別、評估、緩解和監控風險的根底，在其中 可運用螺旋式的漸進管理方法。根據可選擇方案和約束條件，通過對工程目標的測試來識別工程風 險，并識別導致錯誤的可能因素，

21、建立起工程風險列表。評估工程風險，并確定其發生的概率和后 果，建立起工程風險發生概率和本錢估計的標準。獲得對工程風險評估的正規化認識，審核風險評 估的充分性并對基于風險的技術工作作出繼續、修改或取消的決策，這一審核應該包括對潛在風險 的緩解努力及其成功可能性的評估。制定風險緩解方案，通過風險緩解活動可以降低風險發生率， 或當風險已經發生時，減少它的破壞范圍，對于一些特別需要關注的風險，將同時采取幾種風險緩 解活動。跟蹤風險緩解活動，獲得風險狀況，進行風險分類。具體文檔見附件4之十三。15、如何監控技術活動描述如何進行監控技術活動，包括技術活動指導，工程資源的跟蹤，問題 分析等；提供關于進行監控

22、技術活動的相應文檔記錄根據技術管理方案指導技術工作工程，建立工作模板，確定工作權限。按照技術管理方案對資 源實際使用情況進行跟蹤，提供及時的資源使用信息，以幫助在需要時調整工程工程和方案。對已 設計技術參數的執行情況進行跟蹤，以將問題警告給管理層。當到達一定的周期或技術參數門限被 超過時，需要對工程的執行及其成果進行審核。技術執行的測量分析結果將與其他的技術執行指標 一起被審核，而矯正行動方案也要被核準，建立請求修訂技術管理方案。召開會議，提交執行情況 分析和建議的矯正行動，寫出狀態報告，作為工程審核會議的根底。在整個工程生命期內，新的問 題會不斷地出現，及時地識別、分析和跟蹤這些問題對于方案

23、執行是十分重要的。具體文檔見附件4之十四。16、如何規劃技術活動描述如何規劃技術活動，包括關鍵資源的識別，工程費用估算，確定工程 過程，定義工程接口，工程進度方案等活動；提供關于進行規劃技術活動的相應文檔記錄檢查工程進度表、并思考在某一時段的每一點上所需資源的類型，列出不易獲得的資源，從而識 別出關鍵性資源。采用好的因素估算方法，確定估算系統的范圍，如源代碼的行數、電子卡數量等。 在估算本錢之前，關于工程的大量數據工程范圍、進度表、原料工程等大量信息都收集起來， 關注由技能水平和進度表決定的勞動力總費用、工程及銷售商和進度表的材料費用和轉包費用、工 具費用、培訓費用、支持性根本費用等。根據工程

24、特點采用適宜的工程過程，如瀑布型、螺旋漸進 型、增量型等模型。利用類似工程的歷史記錄，就有可能開發出活動的列表，并確信該列表的完整 性。對于一個工程，為進行成功的交流，需要標識出在組織內或組織外的各個交互組，同時對于每 個組，都要根據接口機制、接口頻度和問題解決機制來定義和實施每個接口。開發工程進度表和建 立技術參數，開發技術性管理方案和確定審核和批準工程方案。具體文檔見附件4之十五。17、如何管理系統工程支持環境描述如何管理系統工程支持環境；提供關于管理系統工程支持環 境的相應文檔記錄基于平安實施組織的需要，應確定系統工程支持環境的需求，特別是確定平安組織對計算機網絡 性能、改良的分析方法、

25、計算機軟件和過程重構的要求。系統工程支持環境可以包括以下元素：軟 件生產性工具、仿真系統工程的工具、所有者的室內工具、定制的商業性可用工具、特殊的測試裝 置以及新設施等。在將新技術引入工程支持環境時，應徹底地測試該技術，并監控新技術的可接受 性。通過各種方式維護支持環境，并將有關內容寫入系統工程支持環境的執行報告，采用的方法有: 雇用或培訓計算機系統管理員、為選定的自動化工具培養內行用戶、培養在不同工程上使用支持環 境的方法論專家、培養在不同工程上使用支持環境的過程專家。注意要動態地監控工程支持環境。具體文檔見附件4之十六。18、如何提供不斷開展的知識和技能描述如何提供不斷開展的知識和技能；提

26、供相應文檔記錄以工程需求、組織的策略方案、現有的員工技能作為引導，對整個組織中的技能和知識中所需的 改良進行識別，因此確認組織的培訓需求、工程技能或知識。對所需技能和知識進行調查，并折衷 研究結果，而且找出最有效的技能和知識培訓模式。針對每一個作業細目結構元素做一張知識類型 檢查列表，以此來實現對技能和知識的適當覆蓋。根據需要，應有針對性的準備培訓資料，包括預 期的聽眾、培訓目標、培訓期、課時方案、學生滿意度調查表。按照培訓方案和開發的資料對人員 進行培訓，根據培訓人員的特點，采取各種有效的培訓方式和方法，并給培訓人員的進行必要的考 核，從而反映出培訓的效果，然后根據培訓的效果情況，有必要時可

27、對培訓進行修正。特別要維護 培訓記錄，記錄被有效的保存下來，以此用以跟蹤員工接受的培訓。同時要注意保存培訓資料，并 盡可能的將培訓資料標準化，以備將來培訓所需或培訓修正。具體文檔見附件4之十七。19、如何與供給商協調描述如何與供給商協調；提供關于如何與供給商協調的相應文檔記錄 其目標是選擇和利用有效供給商。供給商可以是銷售商、轉包商和合作伙伴等商業形式組織。對安全產品的進度、工序和交貨進行協調，同時受到影響的組織必須共同思考作業關系，這些關系可能 涉及到從集成的開發商/供給商平安產品隊伍，到初級承包商/分包商，到銷售商等的范圍。通過對“制造還是購置的分析決策，決定需要采購的平安工程。根據需要，

28、可進行市場調查，找出潛在 的供給商，并清楚的知道每個供給商的強弱和協調的可能方法。按照已定義的過程和合理、公平的 方法挑選供給商或銷售商，同時將用戶的需求信息傳達給供給商，并能客觀的評價供給商及選擇供 應商的理由。向供給商提出需求、期望、測試技術和度量。通過“面對面的溝通與“遠程交流 等方式維持與供給商的交流溝通，注意契約所要求的交流，采取適宜的交流工具，并制定交流方案， 同時應將交流分類進行列表處理。具體文檔見附件4之十八。20、如何進行標準化管理申請四級資質不要求。描述如何實現標準過程的制度化；提供實現標準 過程的相應文檔記錄根本實施按照SSE-CMM充分定義的過程執行，該過程是依據對文檔

29、化的標準過程進行裁剪并經批 準的過程版本。實施應注重組織標準過程的制度化。一個組織的標準過程可能需要裁剪以適合特定 環境的使用，因此如何裁剪也應考慮。為某一組織對一個過程或過程族進行標準化，它描述了如何 實現過程區的根本實施。對組織的標準過程族進行裁剪，以建立一個專門用途的特定需求的定義過 程。當對標準系統工程的改良進行實施和評估時，組織應當將成功的改良永久性地參加到標準化系 統工程中。裁剪指南應該被設計成適應條件的變化，同時不允許工程繞開準那么或組織策略規定的基 礎重要措施。裁剪應符合環境的變化，如工程領域，本錢、進度、質量之間的折中平衡，工程職員 的經驗，用戶屬性，工程的技術難度等。具體文

30、檔見附件4之十九。21、如何實現工程量化控制申請三級、四級資質不要求。描述如何實現對工程建立量化目標，根 據量化目標實施工程，并以量化測量作為修正工程的根底；提供關于如何實現量化管理控制的相應 文檔記錄實現工程量化控制應收集、分析執行的詳細測量。為組織標準過程族的工作產品建立可測度的質 量目標，同時確定過程能力的量化測量并使用量化測量來管理這一過程。具體文檔見附件4之二十。22、如何優化管理申請二級、三級、四級資質不要求。描述如何在整個組織范圍內使用的標準過 程，找出標準過程的缺乏，分析、消除標準過程產生缺陷的原因，并對標準過程進行優化；提供關 于優化管理的相應文檔記錄廣東省計算機信息系統平安

31、效勞資質認證申請書申請單位：填表日期： 廣 東 省 公 安 廳目錄填表須知申請內容 企業根本情況表表 1 企業組織結構表表 2 企業近三年資產運營情況表表 3 企業負責人情況表表 4 企業技術負責人情況表表 5 企業平安效勞負責人情況表表 6 企業技術能力根本情況表表 7 平安效勞組織管理和質量保證能力情況表表 8 企業近三年平安效勞工程匯總表表 9 企業獲獎、標準和其他資質認證情況表表 10 企業在平安效勞方面的開展規劃表 11 企業其他情況說明表 12審查、核準意見 13填表須知1仔細閱讀?廣東省計算機信息系統平安保護管理規定實施細那么? ，并按照其要求如實、 詳細地填寫本申請書所有工程。

32、表 13 由公安機關填寫，其余表由申請單位填寫。2應按照申請書原有格式進行填寫。如填寫內容較多，可另加附頁。3須提交本申請書 含相關證明材料及其他附件 紙板一式三份， 同時提交一份對應的電 子文檔。要求蓋章的地方，必須加蓋公章。4除填寫本申請書外，還應提交以下 6 個方面材料作為附件集中附后：附件 1：表 1 要求的營業執照副本復印件；附件 2：表 3 要求的近三年審計報告與信用等級證明材料 假設無審計報告請提供加蓋公 章的資產負債表和損益表 ；附件 3：表 4、表 5、表 6 要求的企業負責人、技術負責人、平安效勞負責人的任職、 學歷、職稱、平安培訓、業績證明材料復印件；附件 4：表 8 要

33、求的平安效勞專業水平和質量保證相關文檔記錄；附件 5：表 9 要求的近 3 年工程承接合同的復印件；附件 6：表 10 要求的企業獲獎、標準和其他資質認證相關證書。申請內容廣東省公安廳公共信息網絡平安監察處：我單位正式提出計算機信息系統平安效勞資質認證申請，并保證將按照計算機信息 系統平安效勞資質認證的要求，提供所需的所有真實信息，并配合認證活動。1申請效勞內容 平安工程 平安方案設計、平安集成、平安維護、平安評估、平安咨詢等 電子身份認證運營 其他效勞 2申請資質級別 一級 二級 三級 四級3申請類型 初次申請 再次申請，第 次申請 級別變更原資質級別：一級 二級 三級 四級 注意：除第一項

34、外其余各項均為單項選擇。申請單位蓋章：申請日期： 年 月 日企業根本情況表單位名稱所屬/主管部門詳細地址通信地址郵政編碼法人代表姓名總經理姓名資質認證工作聯 系方式聯系人： ： ： ：傳呼：E-mail:企 業 注 冊 情 況注冊號注冊資本萬元成立時間企業類型經營范圍：主要股東及持股 情況主要 股東持股比例中國公民或者組織持股比例本科學歷人員碩士學位人員博士學位及以上人企業總人數總人數專業技術人員構成情況人數占工程技術 人員百分比人數占工程技術 人員百分比人數人員百分比已參加平安培訓人數備注:1資質認證工作聯系人應當相對固定，如有變更，請及時告知。2、企業類型、成立時間、經營范圍應嚴格按照企業

35、營業執照填寫3、提供營業執照副本復印件作為附件 10企業組織結構表企業組織結構圖和平安效勞有關的管理、研發、平安效勞實施、質量保證、 客戶效勞、人力資源管理與培訓、合同管理等部門職能的詳細說明1、組織結構圖2. 部門職能說明3、平安效勞流程企業近三年資產運營情況表單位：萬元人民幣近三年資產負債表年年年年年年資產總額負債與所有者權益總額流動資產負債總額其/、中應收帳款其/、中流動負債平均應收帳款長期負債存貨所有者權益平均存貨其/、中實收資本固定資產原值未分配利潤固定資產凈值近年 損 益 表年年年年年年收入總額財務費用其/、中業務收入營業利潤其中平安效勞費用投資收益銷售本錢利潤總額銷售費用凈利潤銷

36、售利潤管理費用近三年信用等級年年年備注：1、平安效勞費用包括：涉及平安內容的系統設計費、軟件開發費、系統集成費和技術效勞費等；2、本表須加蓋公章；3、請提供近三年審計報告與信用等級證明材料假設無審計報告請提供加蓋公章的資產負債表和損益表作為附件2。企業負責人情況表姓名性別出生年月職務職稱學歷畢業時間畢業學校畢業專業信息平安技術領域工作經歷年數學習和工作簡歷業績企業技術負責人情況表姓名性別出生年月職務職稱學歷畢業時間畢業學校畢業專業信息平安技術領域工作經歷年數學習和工作簡歷業績企業平安效勞負責人情況表姓名性別出生年月職務職稱學歷畢業時間畢業學校畢業專業信息平安技術領域工作經歷年數學習和工作簡歷業

37、績企業技術能力根本情況表平安效勞主要人員根本情況序號部門名稱姓名身份證號職稱學歷畢業專業畢業時間從事崗位技術特長總人數已參加公安機關組織的平安培訓人數平安效勞人員數 目占公司總人數比例自主開發產品情況產品名稱產品概述產品功能和特點產品認證情況工作環境和設施情況分類型號和數量效勞器工作站網絡設備其他常用平安效勞工具名稱功能描述版本工具提供商或開發人員平安效勞網站網址網站IP平安效勞組織管理和質量保證能力情況表平安效勞專業水平和質量保證說明每項不越過400字，相關文檔記錄作為附件41、評估系統平安威脅的能力描述如何識別系統所面臨的各種平安威脅及其性質和特征，以及對威 脅的可能性進行評估2、評估系統

38、脆弱性的能力描述如何對系統的脆弱性進行評估，包括所選擇的分析方法、工具，收 集、合成系統的脆弱性數據；提供一份具體工程中關于系統脆弱性評估的相應文檔記錄，包括系統 脆弱性清單、攻擊測試報告等3、評估平安對系統的影響的能力描述如何識別平安對所實施的系統的影響，并對發生影響的可能 性進行評估；提供一份具體工程中關于評估平安對系統的影響的相應文檔記錄，如系統優先級清單、 系統資產分析表等4、評估系統平安風險的能力描述如何識別出一給定環境中涉及到對某一系統有依賴關系的平安風 險；如何對系統的平安風險進行評估，包括選擇風險評估方法、風險優先級排列方法等；提供一份 具體工程中關于評估系統平安風險的相應文檔

39、記錄5、確定系統平安需求的能力描述如何明確識別出系統平安要求；提供一份具體工程中關于確定系 統的平安需求的相應文檔記錄，如平安策略、平安目標、平安需求分析報告等6、確定系統的平安輸入的能力描述如何為系統的規劃者、設計者、實施者或用戶提供他們所需的 平安信息，包括平安體系結構、設計或實施選擇以及平安指南；提供一份具體工程中關于確定系統 的平安輸入的相應文檔記錄，如系統平安體系設計方案，平安模型，各種平安相關的指南等7、平安控制管理的能力描述如何保證集成到系統設計中的已方案的系統平安確實由最終系統在運 行狀態下到達。包括建立平安職責，增強所有用戶和管理員的平安意識，開展平安教育培訓，對所 有的平安

40、配置進行管理軟件更新記錄、平安配置修改記錄等；提供一份具體工程中關于進行管理平安控制的相應文檔記錄8、監測系統平安狀況的能力描述如何對平安風險變化、事件記錄、平安防護措施進行監視，并識 別平安突發事件和對平安突發事件進行響應；提供一份具體工程中關于進行監測系統平安狀況的相 應文檔記錄9、平安協調能力描述如何進行平安協調，包括建立各工作組之間以及組內部的協調機制，并確保 其實施的方法；提供一份具體工程中關于進行平安協調的相應文檔記錄10、檢測和證實系統平安性的能力描述如何檢測和證實系統的平安性，包括檢測或證實系統平安 性的方法和工具；提供一份具體工程中關于檢測和證實系統平安性的相應文檔記錄，如測試方案，