資源描述:
《信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表》由會員上傳分享��,免費在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�����。
1���、ISCCC-QOT-0428-B/3信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立信息安全風(fēng)險評估服務(wù)流程�����。按照相關(guān)標(biāo)準建立的信息安全風(fēng)險評估服務(wù)流程,流程圖中應(yīng)包括每個階段對應(yīng)的職責(zé)�����、輸入輸出等。2.制定信息安全風(fēng)險評估服務(wù)規(guī)范并按照規(guī)范實施���。已制定的信息安全風(fēng)險評估服務(wù)規(guī)范��。3.基本資格僅三級要求:至少有一個完成的風(fēng)險評估項目,該系統(tǒng)的用戶數(shù)在1,000以上���;具備從管理或(和)技術(shù)層面對脆弱性進行識別的能力��。一個已完成項
2�����、目的合同��、用戶數(shù)����、驗收的證明材料��,包括管理或(和)技術(shù)層面脆弱性識別的材料�����。4.僅二級要求:針對多種類型組織,多行業(yè)組織����,至少完成一個風(fēng)險評估項目�,該系統(tǒng)的用戶數(shù)在10,000以上����;具備從管理和技術(shù)層面對脆弱性進行識別的能力�。一個已完成項目的合同��、用戶數(shù)�、驗收的證明材料,包括管理和技術(shù)層面脆弱性識別的材料���。中國信息安全認證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表1.僅一級要求:能夠在全國范圍內(nèi),針對5個(含)以上行業(yè)開展風(fēng)險評估服務(wù)����;至少完成兩個風(fēng)險評估項目,該系統(tǒng)的用戶數(shù)在100,000以上;具備從業(yè)務(wù)����、管理和技
3�、術(shù)層面對脆弱性進行識別的能力�����。5個已完成項目的合同、用戶數(shù)��、驗收的證明材料�����,從業(yè)務(wù)��、管理和技術(shù)層面對脆弱性進行識別的材料���。2.僅一級要求:具備跟蹤�����、驗證�、挖掘信息安全漏洞的能力。跟蹤、驗證�、挖掘信息安全漏洞的證明材料。3.準備階段-服務(wù)方案制定編制風(fēng)險評估方案��、風(fēng)險評估模板��,并在項目實施過程中按照模板實施�。信息安全風(fēng)險評估方案�����、風(fēng)險評估模板���。4.應(yīng)為風(fēng)險評估實施活動提供總體計劃或方案��,方案應(yīng)包含風(fēng)險評價原則�。已完成項目的風(fēng)險評估方案��,方案中應(yīng)包含風(fēng)險評價原則�。5.僅二級/一級要求:應(yīng)進行充分的系統(tǒng)調(diào)研����,形成調(diào)研報告�����。已完成項目的系統(tǒng)調(diào)研報告�����,報告中對被評估對象有清
4���、晰的描述���。6.僅二級/一級要求:宜根據(jù)風(fēng)險評估目標(biāo)以及調(diào)研結(jié)果,確定評估依據(jù)和評估方法���。已完成項目的風(fēng)險評估實施方案中應(yīng)根據(jù)目標(biāo)及調(diào)研結(jié)果�,明確評估依據(jù)和評估方法��,評估依據(jù)和評估方法符合國家標(biāo)準、行業(yè)標(biāo)準及相關(guān)要求�����。7.僅二級/一級要求:應(yīng)形成較為完整的風(fēng)險評估實施方案����。8.準備階段-人員和工具管理應(yīng)組建評估團隊����。風(fēng)險評估實施團隊?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干����、IT技術(shù)人員等組成�。已完成項目的風(fēng)險評估方案中對風(fēng)險評估實施團隊成員及團隊構(gòu)架的介紹。中國信息安全認證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表1.應(yīng)根據(jù)評估的需求
5���、準備必要的工具�����。已完成項目的風(fēng)險評估方案中對評估工具的介紹,工具列表及主要功能描述��。2.應(yīng)對評估團隊實施風(fēng)險評估前進行安全教育和技術(shù)培訓(xùn)��。項目實施前的安全教育及技術(shù)培訓(xùn)的證明材料����,如啟動會的PPT,PPT中包含培訓(xùn)的內(nèi)容�,以及其他可證明對其安全教育、技術(shù)方面培訓(xùn)的材料��。。3.僅二級/一級要求:需采取相關(guān)措施����,保障工具自身的安全性、適用性����。工具的安全測試證明材料;定期或工具軟件有重大版本變更時�����,對工具軟件進行適用性確認的測試記錄�����。4.僅一級要求:需采取相關(guān)措施����,保障工具管理的規(guī)范性。已制定的工具管理制度及執(zhí)行記錄��。5.風(fēng)險識別階段-資產(chǎn)識別參考國家或國際標(biāo)準��,對資產(chǎn)
6�、進行分類。參照已發(fā)布的標(biāo)準��,形成的資產(chǎn)分類列表�����。6.識別重要信息資產(chǎn)���,形成資產(chǎn)清單��。已完成項目的重要資產(chǎn)清單。7.對已識別的重要資產(chǎn)����,分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求��。已完成項目的重要資產(chǎn)的三性等級要求列表�����。8.對資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級分析結(jié)果��,經(jīng)過綜合評定進行賦值�。已完成項目的重要資產(chǎn)賦值表。中國信息安全認證中心制第9頁共9頁ISCCC-QOT-0428-B/3信息安全風(fēng)險評估服務(wù)資質(zhì)認證自評估表1.僅一級要求:識別信息系統(tǒng)處理的業(yè)務(wù)功能����,重點識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。已完成項目中識別信息系統(tǒng)����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)
7、務(wù)���、業(yè)務(wù)流程的證明材料����。2.僅一級要求:根據(jù)業(yè)務(wù)特點和業(yè)務(wù)流程識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)�。已完成項目中識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)����、業(yè)務(wù)流程的證明材料��。3.僅一級要求:識別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件�。已完成項目中對處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識別分析證明材料��。4.風(fēng)險識別階段-脆弱性識別應(yīng)對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M行核查�,并形成安全管理或技術(shù)脆弱性列表。已完成項目中對脆弱性識別時使用的工具列表�、管理或技術(shù)脆弱性列表。5.應(yīng)對脆弱性進行賦值����。已完成項目的脆弱性賦值列表。6.風(fēng)險識別階段-威
8�、脅識別應(yīng)參
