資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1、ISCCC-QOT-0428-B/3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程����。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程�����,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等��。2.制定信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范并按照規(guī)范實(shí)施��。已制定的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范����。3.基本資格僅三級(jí)要求:至少有一個(gè)完成的風(fēng)險(xiǎn)評(píng)估項(xiàng)目���,該系統(tǒng)的用戶數(shù)在1,000以上����;具備從管理或(和)
2�����、技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力��。一個(gè)已完成項(xiàng)目的合同、用戶數(shù)����、驗(yàn)收的證明材料����,包括管理或(和)技術(shù)層面脆弱性識(shí)別的材料��。4.僅二級(jí)要求:針對(duì)多種類型組織����,多行業(yè)組織,至少完成一個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目,該系統(tǒng)的用戶數(shù)在10,000以上���;具備從管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力����。一個(gè)已完成項(xiàng)目的合同�、用戶數(shù)�、驗(yàn)收的證明材料,包括管理和技術(shù)層面脆弱性識(shí)別的材料�。中國(guó)信息安全認(rèn)證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表1.僅一級(jí)要求:能夠在全國(guó)范圍內(nèi),針對(duì)5個(gè)(含)以上行業(yè)開展風(fēng)險(xiǎn)評(píng)估
3、服務(wù)�����;至少完成兩個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目���,該系統(tǒng)的用戶數(shù)在100,000以上�����;具備從業(yè)務(wù)�����、管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力�。5個(gè)已完成項(xiàng)目的合同�����、用戶數(shù)�、驗(yàn)收的證明材料,從業(yè)務(wù)���、管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的材料��。2.僅一級(jí)要求:具備跟蹤����、驗(yàn)證���、挖掘信息安全漏洞的能力�����。跟蹤�����、驗(yàn)證���、挖掘信息安全漏洞的證明材料�。3.準(zhǔn)備階段-服務(wù)方案制定編制風(fēng)險(xiǎn)評(píng)估方案�����、風(fēng)險(xiǎn)評(píng)估模板���,并在項(xiàng)目實(shí)施過程中按照模板實(shí)施�。信息安全風(fēng)險(xiǎn)評(píng)估方案��、風(fēng)險(xiǎn)評(píng)估模板。4.應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供總體計(jì)劃或方案,方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則��。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案,
4���、方案中應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則����。5.僅二級(jí)/一級(jí)要求:應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研,形成調(diào)研報(bào)告。已完成項(xiàng)目的系統(tǒng)調(diào)研報(bào)告���,報(bào)告中對(duì)被評(píng)估對(duì)象有清晰的描述。6.僅二級(jí)/一級(jí)要求:宜根據(jù)風(fēng)險(xiǎn)評(píng)估目標(biāo)以及調(diào)研結(jié)果���,確定評(píng)估依據(jù)和評(píng)估方法���。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估實(shí)施方案中應(yīng)根據(jù)目標(biāo)及調(diào)研結(jié)果�����,明確評(píng)估依據(jù)和評(píng)估方法��,評(píng)估依據(jù)和評(píng)估方法符合國(guó)家標(biāo)準(zhǔn)���、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。7.僅二級(jí)/一級(jí)要求:應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案。8.準(zhǔn)備階段-人員和工具管理應(yīng)組建評(píng)估團(tuán)隊(duì)�����。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層�、相關(guān)業(yè)務(wù)骨干�����、IT技術(shù)人員等組成。已完成項(xiàng)目的風(fēng)險(xiǎn)
5���、評(píng)估方案中對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹�����。中國(guó)信息安全認(rèn)證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表1.應(yīng)根據(jù)評(píng)估的需求準(zhǔn)備必要的工具����。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案中對(duì)評(píng)估工具的介紹,工具列表及主要功能描述�����。2.應(yīng)對(duì)評(píng)估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評(píng)估前進(jìn)行安全教育和技術(shù)培訓(xùn)��。項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)的證明材料�����,如啟動(dòng)會(huì)的PPT�,PPT中包含培訓(xùn)的內(nèi)容,以及其他可證明對(duì)其安全教育���、技術(shù)方面培訓(xùn)的材料���。。3.僅二級(jí)/一級(jí)要求:需采取相關(guān)措施�,保障工具自身的安全性���、適用性��。工具的安全
6�、測(cè)試證明材料;定期或工具軟件有重大版本變更時(shí)�����,對(duì)工具軟件進(jìn)行適用性確認(rèn)的測(cè)試記錄�����。4.僅一級(jí)要求:需采取相關(guān)措施���,保障工具管理的規(guī)范性���。已制定的工具管理制度及執(zhí)行記錄�����。5.風(fēng)險(xiǎn)識(shí)別階段-資產(chǎn)識(shí)別參考國(guó)家或國(guó)際標(biāo)準(zhǔn)��,對(duì)資產(chǎn)進(jìn)行分類���。參照已發(fā)布的標(biāo)準(zhǔn),形成的資產(chǎn)分類列表����。6.識(shí)別重要信息資產(chǎn),形成資產(chǎn)清單��。已完成項(xiàng)目的重要資產(chǎn)清單。7.對(duì)已識(shí)別的重要資產(chǎn)��,分析資產(chǎn)的保密性�����、完整性和可用性等安全屬性的等級(jí)要求�����。已完成項(xiàng)目的重要資產(chǎn)的三性等級(jí)要求列表�����。8.對(duì)資產(chǎn)根據(jù)其在保密性���、完整性和可用性上的等級(jí)分析結(jié)果�,經(jīng)過綜合評(píng)定進(jìn)行賦值
7、。已完成項(xiàng)目的重要資產(chǎn)賦值表��。中國(guó)信息安全認(rèn)證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表1.僅一級(jí)要求:識(shí)別信息系統(tǒng)處理的業(yè)務(wù)功能�,重點(diǎn)識(shí)別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。已完成項(xiàng)目中識(shí)別信息系統(tǒng)����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)�、業(yè)務(wù)流程的證明材料���。2.僅一級(jí)要求:根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識(shí)別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)���。已完成項(xiàng)目中識(shí)別信息系統(tǒng)��、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料��。3.僅一級(jí)要求:識(shí)別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。已完成項(xiàng)目中對(duì)處理數(shù)據(jù)和提供服務(wù)
8���、所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識(shí)別分析證明材料�����。4.風(fēng)險(xiǎn)識(shí)別階段-脆弱性識(shí)別應(yīng)對(duì)已識(shí)別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查���,并形成安全管理或技術(shù)脆弱性列表���。已完成項(xiàng)目中對(duì)脆弱性識(shí)別時(shí)使用的工具列表���、管理或技術(shù)脆弱性列表�����。5.應(yīng)對(duì)脆弱性進(jìn)行賦值�����。已完成項(xiàng)目的脆弱性賦值列表。6.風(fēng)險(xiǎn)識(shí)別階段-威脅識(shí)別應(yīng)參
