資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)��。
1�����、CCRC-QOT-0428-B/4信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程���。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程�����,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)�、輸入輸出等。2.制定信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范并按照規(guī)范實(shí)施�。已制定的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范。3.基本資格僅三級(jí)要求:至少有一個(gè)完成的風(fēng)險(xiǎn)評(píng)估項(xiàng)目��,該系統(tǒng)的用戶數(shù)在1,000以上��;
2���、具備從管理或(和)技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力����。一個(gè)已完成項(xiàng)目的合同�、用戶數(shù)、驗(yàn)收的證明材料����,包括管理或(和)技術(shù)層面脆弱性識(shí)別的材料。4.僅二級(jí)要求:針對(duì)多種類型組織�����,多行業(yè)組織,至少完成一個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目�,該系統(tǒng)的用戶數(shù)在10,000以上;具備從管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力���。一個(gè)已完成項(xiàng)目的合同�、用戶數(shù)���、驗(yàn)收的證明材料����,包括管理和技術(shù)層面脆弱性識(shí)別的材料���。中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心制第9頁(yè)共9頁(yè)CCRC-QOT-0428-B/4信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表1.僅一級(jí)要求:能夠在
3、全國(guó)范圍內(nèi)����,針對(duì)5個(gè)(含)以上行業(yè)開展風(fēng)險(xiǎn)評(píng)估服務(wù);至少完成兩個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目��,該系統(tǒng)的用戶數(shù)在100,000以上����;具備從業(yè)務(wù)、管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力。5個(gè)已完成項(xiàng)目的合同���、用戶數(shù)���、驗(yàn)收的證明材料,從業(yè)務(wù)����、管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的材料。2.僅三級(jí)要求:具備跟蹤信息安全漏洞的能力跟蹤信息安全漏洞的證明材料3.僅二級(jí)要求:具備跟蹤�、驗(yàn)證信息安全漏洞的能力。跟蹤��、驗(yàn)證信息安全漏洞的證明材料4.僅一級(jí)要求:具備跟蹤����、驗(yàn)證、挖掘信息安全漏洞的能力�����。跟蹤�、驗(yàn)證、挖掘信息安全漏洞的證明材料�����。5.
4、準(zhǔn)備階段-服務(wù)方案制定編制風(fēng)險(xiǎn)評(píng)估方案����、風(fēng)險(xiǎn)評(píng)估模板,并在項(xiàng)目實(shí)施過程中按照模板實(shí)施���。信息安全風(fēng)險(xiǎn)評(píng)估方案����、風(fēng)險(xiǎn)評(píng)估模板�。6.應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供總體計(jì)劃或方案,方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則���。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案�����,方案中應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則。7.僅二級(jí)/一級(jí)要求:應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研�����,形成調(diào)研報(bào)告。已完成項(xiàng)目的系統(tǒng)調(diào)研報(bào)告���,報(bào)告中對(duì)被評(píng)估對(duì)象有清晰的描述�����。8.僅二級(jí)/一級(jí)要求:宜根據(jù)風(fēng)險(xiǎn)評(píng)估目標(biāo)以及調(diào)研結(jié)果�����,確定評(píng)估依據(jù)和評(píng)估方法���。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估實(shí)施方案中應(yīng)根據(jù)目標(biāo)及調(diào)研結(jié)果,明確評(píng)估依據(jù)和評(píng)估
5�、方法,評(píng)估依據(jù)和評(píng)估方法符合國(guó)家標(biāo)準(zhǔn)�、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。9.僅二級(jí)/一級(jí)要求:中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心制第9頁(yè)共9頁(yè)CCRC-QOT-0428-B/4信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案���。1.準(zhǔn)備階段-人員和工具管理應(yīng)組建評(píng)估團(tuán)隊(duì)�����。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層�、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成��。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案中對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹�����。2.應(yīng)根據(jù)評(píng)估的需求準(zhǔn)備必要的工具����。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案中對(duì)評(píng)估工具的介紹,工具列表及主要功能描述��。3
6�、.應(yīng)對(duì)評(píng)估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評(píng)估前進(jìn)行安全教育和技術(shù)培訓(xùn)。項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)的證明材料�����,如啟動(dòng)會(huì)的PPT�����,PPT中包含培訓(xùn)的內(nèi)容����,以及其他可證明對(duì)其安全教育、技術(shù)方面培訓(xùn)的材料�����。4.僅二級(jí)/一級(jí)要求:需采取相關(guān)措施�,保障工具自身的安全性、適用性����。工具的安全測(cè)試證明材料;定期或工具軟件有重大版本變更時(shí)�����,對(duì)工具軟件進(jìn)行適用性確認(rèn)的測(cè)試記錄��。5.僅一級(jí)要求:需采取相關(guān)措施���,保障工具管理的規(guī)范性�。已制定的工具管理制度及執(zhí)行記錄�。6.風(fēng)險(xiǎn)識(shí)別階段-資產(chǎn)識(shí)別參考國(guó)家或國(guó)際標(biāo)準(zhǔn),對(duì)資產(chǎn)進(jìn)行分類�����。參照已發(fā)布的標(biāo)
7、準(zhǔn)�����,形成的資產(chǎn)分類列表���。7.識(shí)別重要信息資產(chǎn)����,形成資產(chǎn)清單�。已完成項(xiàng)目的重要資產(chǎn)清單。8.已完成中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心制第9頁(yè)共9頁(yè)CCRC-QOT-0428-B/4信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表對(duì)已識(shí)別的重要資產(chǎn)�����,分析資產(chǎn)的保密性���、完整性和可用性等安全屬性的等級(jí)要求����。項(xiàng)目的重要資產(chǎn)的三性等級(jí)要求列表�。1.對(duì)資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級(jí)分析結(jié)果,經(jīng)過綜合評(píng)定進(jìn)行賦值����。已完成項(xiàng)目的重要資產(chǎn)賦值表��。2.僅一級(jí)要求:識(shí)別信息系統(tǒng)處理的業(yè)務(wù)功能�,重點(diǎn)識(shí)別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程
8、��。已完成項(xiàng)目中識(shí)別信息系統(tǒng)�����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)���、業(yè)務(wù)流程的證明材料���。3.僅一級(jí)要求:根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識(shí)別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。已完成項(xiàng)目中識(shí)別信息系統(tǒng)�����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)���、業(yè)務(wù)流程的證明材料�。4.僅一級(jí)要求:識(shí)別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。已完成項(xiàng)目中對(duì)處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識(shí)別分析證明材料�。5.風(fēng)險(xiǎn)識(shí)別階段-脆弱性識(shí)別應(yīng)對(duì)已識(shí)別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查,并形成安
