資源描述:
《信息安全風險評估服務資質(zhì)認證自評估表》由會員上傳分享����,免費在線閱讀,更多相關內(nèi)容在應用文檔-天天文庫���。
1、CCRC-QOT-0428-B/4信息安全風險評估服務資質(zhì)認證自評估表信息安全風險評估服務資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務技術要求建立信息安全風險評估服務流程�����。按照相關標準建立的信息安全風險評估服務流程��,流程圖中應包括每個階段對應的職責�、輸入輸出等。2.制定信息安全風險評估服務規(guī)范并按照規(guī)范實施��。已制定的信息安全風險評估服務規(guī)范��。3.基本資格僅三級要求:至少有一個完成的風險評估項目��,該系統(tǒng)的用戶數(shù)在1,000以上�����;
2、具備從管理或(和)技術層面對脆弱性進行識別的能力���。一個已完成項目的合同��、用戶數(shù)����、驗收的證明材料����,包括管理或(和)技術層面脆弱性識別的材料。4.僅二級要求:針對多種類型組織�����,多行業(yè)組織��,至少完成一個風險評估項目�,該系統(tǒng)的用戶數(shù)在10,000以上;具備從管理和技術層面對脆弱性進行識別的能力�����。一個已完成項目的合同、用戶數(shù)�、驗收的證明材料,包括管理和技術層面脆弱性識別的材料�。中國網(wǎng)絡安全審查技術與認證中心制第9頁共9頁CCRC-QOT-0428-B/4信息安全風險評估服務資質(zhì)認證自評估表1.僅一級要求:能夠在
3、全國范圍內(nèi)���,針對5個(含)以上行業(yè)開展風險評估服務���;至少完成兩個風險評估項目,該系統(tǒng)的用戶數(shù)在100,000以上�;具備從業(yè)務��、管理和技術層面對脆弱性進行識別的能力�。5個已完成項目的合同、用戶數(shù)��、驗收的證明材料���,從業(yè)務�、管理和技術層面對脆弱性進行識別的材料��。2.僅三級要求:具備跟蹤信息安全漏洞的能力跟蹤信息安全漏洞的證明材料3.僅二級要求:具備跟蹤�����、驗證信息安全漏洞的能力。跟蹤��、驗證信息安全漏洞的證明材料4.僅一級要求:具備跟蹤����、驗證、挖掘信息安全漏洞的能力����。跟蹤、驗證����、挖掘信息安全漏洞的證明材料。5.
4�、準備階段-服務方案制定編制風險評估方案、風險評估模板��,并在項目實施過程中按照模板實施��。信息安全風險評估方案��、風險評估模板����。6.應為風險評估實施活動提供總體計劃或方案��,方案應包含風險評價原則����。已完成項目的風險評估方案�����,方案中應包含風險評價原則���。7.僅二級/一級要求:應進行充分的系統(tǒng)調(diào)研��,形成調(diào)研報告�����。已完成項目的系統(tǒng)調(diào)研報告,報告中對被評估對象有清晰的描述�。8.僅二級/一級要求:宜根據(jù)風險評估目標以及調(diào)研結(jié)果,確定評估依據(jù)和評估方法�。已完成項目的風險評估實施方案中應根據(jù)目標及調(diào)研結(jié)果,明確評估依據(jù)和評估
5�、方法,評估依據(jù)和評估方法符合國家標準、行業(yè)標準及相關要求���。9.僅二級/一級要求:中國網(wǎng)絡安全審查技術與認證中心制第9頁共9頁CCRC-QOT-0428-B/4信息安全風險評估服務資質(zhì)認證自評估表應形成較為完整的風險評估實施方案。1.準備階段-人員和工具管理應組建評估團隊��。風險評估實施團隊應由管理層���、相關業(yè)務骨干�����、IT技術人員等組成����。已完成項目的風險評估方案中對風險評估實施團隊成員及團隊構架的介紹�。2.應根據(jù)評估的需求準備必要的工具。已完成項目的風險評估方案中對評估工具的介紹�,工具列表及主要功能描述。3
6�、.應對評估團隊實施風險評估前進行安全教育和技術培訓。項目實施前的安全教育及技術培訓的證明材料���,如啟動會的PPT����,PPT中包含培訓的內(nèi)容,以及其他可證明對其安全教育�、技術方面培訓的材料。4.僅二級/一級要求:需采取相關措施��,保障工具自身的安全性����、適用性。工具的安全測試證明材料���;定期或工具軟件有重大版本變更時�,對工具軟件進行適用性確認的測試記錄�����。5.僅一級要求:需采取相關措施��,保障工具管理的規(guī)范性����。已制定的工具管理制度及執(zhí)行記錄���。6.風險識別階段-資產(chǎn)識別參考國家或國際標準���,對資產(chǎn)進行分類。參照已發(fā)布的標
7�、準����,形成的資產(chǎn)分類列表����。7.識別重要信息資產(chǎn)�,形成資產(chǎn)清單�。已完成項目的重要資產(chǎn)清單��。8.已完成中國網(wǎng)絡安全審查技術與認證中心制第9頁共9頁CCRC-QOT-0428-B/4信息安全風險評估服務資質(zhì)認證自評估表對已識別的重要資產(chǎn)��,分析資產(chǎn)的保密性�、完整性和可用性等安全屬性的等級要求����。項目的重要資產(chǎn)的三性等級要求列表。1.對資產(chǎn)根據(jù)其在保密性�、完整性和可用性上的等級分析結(jié)果�����,經(jīng)過綜合評定進行賦值�。已完成項目的重要資產(chǎn)賦值表��。2.僅一級要求:識別信息系統(tǒng)處理的業(yè)務功能�����,重點識別出關鍵業(yè)務功能和關鍵業(yè)務流程
8、����。已完成項目中識別信息系統(tǒng)���、以及業(yè)務系統(tǒng)承載的業(yè)務、業(yè)務流程的證明材料����。3.僅一級要求:根據(jù)業(yè)務特點和業(yè)務流程識別出關鍵數(shù)據(jù)和關鍵服務���。已完成項目中識別信息系統(tǒng)、以及業(yè)務系統(tǒng)承載的業(yè)務��、業(yè)務流程的證明材料。4.僅一級要求:識別處理數(shù)據(jù)和提供服務所需的關鍵系統(tǒng)單元和關鍵系統(tǒng)組件�����。已完成項目中對處理數(shù)據(jù)和提供服務所需的關鍵系統(tǒng)單元和關鍵系統(tǒng)組件的識別分析證明材料�。5.風險識別階段-脆弱性識別應對已識別資產(chǎn)的安全管理或技術脆弱性利用適當?shù)墓ぞ哌M行核查�,并形成安
