信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表_第1頁(yè)
信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表_第2頁(yè)
信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表_第3頁(yè)
信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表_第4頁(yè)
信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、ISCCC-QOT-0428-B/2信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱(chēng)申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門(mén)/人員序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合1.基本資格至少有一個(gè)完成的風(fēng)險(xiǎn)評(píng)估項(xiàng)目,該系 統(tǒng)的用戶(hù)數(shù)在1,000以上;具備從管理或 (和)技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能 力。提供一個(gè)已完成項(xiàng)目的合同、用戶(hù) 數(shù)、驗(yàn)收的證明材料,包括管理或(和)技術(shù)層面脆弱性識(shí)別的材料。2.僅二級(jí)/一級(jí)要求:針對(duì)多種類(lèi)型組織, 多行業(yè)組織,至少完成一個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng) 目,該系統(tǒng)的用戶(hù)數(shù)在 10,000以上;具 備從管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí) 別的能力

2、。提供一個(gè)已完成項(xiàng)目的合同、用戶(hù) 數(shù)、驗(yàn)收的證明材料,包括管理和技 術(shù)層面脆弱性識(shí)別的材料。3.僅一級(jí)要求:能夠在全國(guó)范圍內(nèi),針對(duì) 5個(gè)(含)以上行業(yè)開(kāi)展風(fēng)險(xiǎn)評(píng)估服務(wù); 至少完成兩個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目,該系統(tǒng)的 用戶(hù)數(shù)在100,000以上;具備從業(yè)務(wù)、 管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的提供5個(gè)已完成項(xiàng)目的合同、用戶(hù)數(shù)、 驗(yàn)收的證明材料,從業(yè)務(wù)、管理和技 術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的材料。提供跟蹤、驗(yàn)證、挖掘信息安全漏洞的 證明材料。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合冃匕力。具備跟蹤、驗(yàn)證、挖掘信息安全 漏洞的能力。4.準(zhǔn)備階段-服務(wù)方案 制定編制風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模板

3、,并 在項(xiàng)目實(shí)施過(guò)程中按照模板實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模 板。5.僅二級(jí)/一級(jí)要求:根據(jù)評(píng)估目標(biāo)和范 圍,確定風(fēng)險(xiǎn)評(píng)估對(duì)象中包含的信息系 統(tǒng),以及對(duì)組織的資產(chǎn)進(jìn)行分類(lèi)。對(duì)被評(píng)估的信息系統(tǒng)進(jìn)行識(shí)別的證 明材料。6.應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供總體計(jì)劃 或方案,方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案,方案中包含風(fēng)險(xiǎn)評(píng)價(jià)原則。7.僅二級(jí)/一級(jí)要求:應(yīng)進(jìn)行充分的系統(tǒng) 調(diào)研,形成調(diào)研報(bào)告。已完成項(xiàng)目的系統(tǒng)調(diào)研報(bào)告,報(bào)告中被評(píng)估對(duì)象有清晰的描述。8.僅二級(jí)/一級(jí)要求:宜根據(jù)風(fēng)險(xiǎn)評(píng)估目 標(biāo)以及調(diào)研結(jié)果,確定評(píng)估依據(jù)和評(píng)估 方法。風(fēng)險(xiǎn)評(píng)估方案明確評(píng)估依據(jù)和評(píng)估 方法,評(píng)估依據(jù)和評(píng)估方法符合國(guó)家

4、 標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。9.僅二級(jí)/一級(jí)要求:應(yīng)形成較為完整的 風(fēng)險(xiǎn)評(píng)估實(shí)施方案。10.準(zhǔn)備階段-人員和工 具準(zhǔn)備應(yīng)組建評(píng)估團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng) 由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員 等組成。風(fēng)險(xiǎn)評(píng)估方案明確風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán) 隊(duì),團(tuán)隊(duì)成員應(yīng)由管理層、相關(guān)業(yè)務(wù) 骨干、IT技術(shù)人員等角色組成。11.應(yīng)根據(jù)評(píng)估的需求準(zhǔn)備必要的工具。風(fēng)險(xiǎn)評(píng)估方案明確風(fēng)險(xiǎn)評(píng)估工具,檢查其工具列表及主要功能描述。12.應(yīng)對(duì)評(píng)估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評(píng)估前進(jìn)行安項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合全教育和技術(shù)培訓(xùn)。的證明材料,如啟動(dòng)會(huì)的PPT, PPT中包含培訓(xùn)的內(nèi)容

5、。13.對(duì)項(xiàng)目采取文檔化管理項(xiàng)目管理制度中包含文檔管理的相 關(guān)內(nèi)容。14.僅二級(jí)/一級(jí)要求:需采取相關(guān)措施, 保障工具自身的安全性、適用性;工具的安全測(cè)試證明材料; 風(fēng)險(xiǎn)評(píng)估 啟動(dòng)前的工具測(cè)試記錄,記錄包括對(duì) 工具的適用性記錄。15.僅二級(jí)/一級(jí)要求:建立項(xiàng)目管理規(guī)程, 對(duì)項(xiàng)目按規(guī)程進(jìn)行管理參照ISCCC提供的項(xiàng)目管理制度, 結(jié)合一個(gè)已完成項(xiàng)目查驗(yàn)其項(xiàng)目管 理制度的可行性。16.僅一級(jí)要求:需采取相關(guān)措施,保障工具管理的規(guī)范性以及工具自身的安 全性、適用性;建立相應(yīng)的工具管理制度,并按照制 度執(zhí)行。17.僅一級(jí)要求:建立項(xiàng)目管理規(guī)程, 對(duì)項(xiàng) 目按規(guī)程進(jìn)行管理;必要時(shí),采取項(xiàng)目 群、項(xiàng)目組合管理

6、。項(xiàng)目管理制度,結(jié)合一個(gè)已完成項(xiàng)目 查驗(yàn)項(xiàng)目管理制度的可行性。查驗(yàn)其對(duì)項(xiàng)目群、項(xiàng)目組合管理要 求,及其實(shí)施的記錄。18.風(fēng)險(xiǎn)識(shí)別參考國(guó)家或國(guó)際標(biāo)準(zhǔn),對(duì)資產(chǎn)進(jìn)行分 類(lèi)。參照已發(fā)布的標(biāo)準(zhǔn), 形成的資產(chǎn)分類(lèi) 列表。19.階段-資產(chǎn) 識(shí)別識(shí)別重要信息資產(chǎn),形成資產(chǎn)清單。項(xiàng)目的重要資產(chǎn)清單。20.對(duì)已識(shí)別的重要資產(chǎn),分析資產(chǎn)的保密項(xiàng)目的重要資產(chǎn)的三性等級(jí)要求列序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合性、完整性和可用性等安全屬性的等級(jí) 要求。表21.對(duì)資產(chǎn)進(jìn)行賦值項(xiàng)目的重要資產(chǎn)賦值表。22.僅一級(jí)要求:識(shí)別信息系統(tǒng)處理的業(yè)務(wù) 功能,重點(diǎn)識(shí)別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵 業(yè)務(wù)流程。項(xiàng)目中的

7、識(shí)別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材 料。23.僅一級(jí)要求:根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程 應(yīng)識(shí)別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。項(xiàng)目中的識(shí)別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材 料。24.僅一級(jí)要求:識(shí)別處理數(shù)據(jù)和提供服務(wù) 所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。項(xiàng)目中的處理數(shù)據(jù)和提供服務(wù)所需 的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。25.風(fēng)險(xiǎn)識(shí)別 階段-脆弱 性識(shí)別應(yīng)對(duì)已識(shí)別資產(chǎn)的安全管理或技術(shù)脆 弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查,并形成 安全管理或(和)技術(shù)脆弱性列表。項(xiàng)目中對(duì)脆弱性識(shí)別時(shí)使用的工具 列表、管理或(和)技術(shù)脆弱性列表。26.應(yīng)對(duì)脆弱性進(jìn)行賦值。項(xiàng)目的脆弱性賦值列表。27.風(fēng)險(xiǎn)識(shí)別

8、 階段-威脅 識(shí)別應(yīng)參考國(guó)家或國(guó)際標(biāo)準(zhǔn),對(duì)威脅進(jìn)行分 類(lèi)。威脅分類(lèi)清單。28.應(yīng)識(shí)別對(duì)已識(shí)別的信息資產(chǎn)存在的潛 在威脅;項(xiàng)目中的威脅識(shí)別清單29.應(yīng)識(shí)別威脅利用脆弱性的可能性;其分析脆弱性發(fā)生可能性的證明材 料。30.應(yīng)分析威脅利用脆弱性對(duì)組織可能造分析脆弱性發(fā)生對(duì)組織造成影響的序要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單號(hào)符合不 符 合成的影響。證明材料。31.僅一級(jí)/一級(jí)要求:依據(jù)相關(guān)標(biāo)準(zhǔn)中的 威脅分類(lèi)方法對(duì)威脅進(jìn)行分類(lèi)。威脅類(lèi)別清單32.僅二級(jí)/一級(jí)要求:應(yīng)識(shí)別出組織和信 息系統(tǒng)中潛在的對(duì)組織和信息系統(tǒng)造 成影響的威脅。對(duì)組織和信息系統(tǒng)造成的潛在威脅, 以及分析的證明材料。33.僅一

9、級(jí)要求:米用多種方法進(jìn)行威脅調(diào) 查。威脅調(diào)查的方法證明材料。34.風(fēng)險(xiǎn)識(shí)別- 已有安全應(yīng)識(shí)別組織已米取的安全措施;已完成項(xiàng)目的已識(shí)別的安全措施列 表。35.措施確認(rèn)應(yīng)評(píng)價(jià)已米取的安全措施的有效性。安全措施有效性的證明材料。36.應(yīng)構(gòu)建風(fēng)險(xiǎn)分析模型。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中的風(fēng) 險(xiǎn)分析模型的描述,并驗(yàn)證其可行 性、科學(xué)性。37.風(fēng)險(xiǎn)分析 階段-風(fēng) 險(xiǎn)分析模應(yīng)根據(jù)風(fēng)險(xiǎn)分析模型對(duì)已識(shí)別的重要 資產(chǎn)的威脅、脆弱性及安全措施進(jìn)行分 析。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中,對(duì)資產(chǎn)、脆弱性及安全措施的分析的描 述。38.型建立應(yīng)根據(jù)分析模型確定的方法計(jì)算出風(fēng) 險(xiǎn)值。已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)計(jì) 算方法的描述,并

10、得出風(fēng)險(xiǎn)值。39.僅二級(jí)/一級(jí)要求:構(gòu)建風(fēng)險(xiǎn)分析模型 應(yīng)將資產(chǎn)、威脅、脆弱性二個(gè)基本要素已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)資 產(chǎn)、威脅、脆弱性三個(gè)基本要素進(jìn)行序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合及每個(gè)要素各自的屬性進(jìn)行關(guān)聯(lián)。關(guān)聯(lián)的證明材料。40.僅二級(jí)/一級(jí)要求:資產(chǎn)價(jià)值應(yīng)依據(jù)資 產(chǎn)在保密性、完整性和可用性上的賦值 等級(jí),經(jīng)過(guò)綜合評(píng)定得出。應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用 性上的賦值等級(jí),經(jīng)過(guò)綜合評(píng)定得 出。41.風(fēng)險(xiǎn)分析 階段-風(fēng) 險(xiǎn)計(jì)算方 法確定僅二級(jí)/一級(jí)要求:在風(fēng)險(xiǎn)計(jì)算時(shí),應(yīng) 根據(jù)頭際情況選擇疋性計(jì)算方法或疋 量計(jì)算方法。項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中的計(jì)算方法。42.風(fēng)

11、險(xiǎn)分析 階段-風(fēng) 險(xiǎn)評(píng)價(jià)應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則確定風(fēng)險(xiǎn)等級(jí)。項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中的評(píng)價(jià)準(zhǔn)則, 確定該項(xiàng)目的風(fēng)險(xiǎn)等級(jí)。43.僅二級(jí)/一級(jí)要求:應(yīng)對(duì)不同等級(jí)的安 全風(fēng)險(xiǎn)進(jìn)行統(tǒng)計(jì)、評(píng)價(jià),形成最終的總 體安全評(píng)價(jià)。項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告中的安全評(píng)價(jià) 內(nèi)容。44.風(fēng)險(xiǎn)分析- 風(fēng)險(xiǎn)評(píng)估 報(bào)告應(yīng)向客戶(hù)提供風(fēng)險(xiǎn)評(píng)估報(bào)告。已完成級(jí)別所要求的風(fēng)險(xiǎn)評(píng)估報(bào)告。45.報(bào)告應(yīng)包括但不限于評(píng)估過(guò)程、評(píng)估方 法、評(píng)估結(jié)果、處置建議等內(nèi)容。風(fēng)險(xiǎn)評(píng)估是否按照模板實(shí)施,報(bào)告中至少包括評(píng)估過(guò)程、評(píng)估方法、評(píng)估 結(jié)果、處置建議等內(nèi)容。46.僅二級(jí)/一級(jí)要求:風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng) 對(duì)本次評(píng)估建立的風(fēng)險(xiǎn)分析模型進(jìn)行 說(shuō)明,并應(yīng)闡明本次評(píng)估采用的風(fēng)險(xiǎn)計(jì)

12、 算方法及風(fēng)險(xiǎn)評(píng)價(jià)方法。2-3份報(bào)告中對(duì)評(píng)估模型、評(píng)估方法、 評(píng)價(jià)方法等描述的內(nèi)容。序要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單號(hào)符合不 符 合僅二級(jí)/一級(jí)要求:風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng) 對(duì)計(jì)算分析出的風(fēng)險(xiǎn)給予比較詳細(xì)的 說(shuō)明。風(fēng)險(xiǎn)評(píng)估報(bào)告對(duì)風(fēng)險(xiǎn)給予詳細(xì)說(shuō)明。47.風(fēng)險(xiǎn)處置 階段-風(fēng)險(xiǎn) 處置原則 確定僅二級(jí)/一級(jí)要求:應(yīng)協(xié)助被評(píng)估組織 確定風(fēng)險(xiǎn)處置原則,以及風(fēng)險(xiǎn)處置原則 適用的范圍和例外情況。風(fēng)險(xiǎn)評(píng)估報(bào)告或建議報(bào)告中對(duì)風(fēng)險(xiǎn) 處置原則及適用的范圍和例外情況 的說(shuō)明。48.風(fēng)險(xiǎn)處置 階段-安全 整改建議僅二級(jí)/一級(jí)要求:對(duì)組織不可接受的 風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。風(fēng)險(xiǎn)評(píng)估報(bào)告或建議報(bào)告中對(duì)組織 不可接受的

13、風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施 或建議。49.風(fēng)險(xiǎn)處置 階段-組織 評(píng)審會(huì)僅一級(jí)要求:協(xié)助被評(píng)估組織召開(kāi)評(píng)審 會(huì)。服務(wù)提供者協(xié)助被評(píng)估組織組織評(píng) 審會(huì)的證明材料,如會(huì)議通知、專(zhuān)家 簽到表、專(zhuān)家意見(jiàn)等。50.僅一級(jí)要求:依據(jù)最終的評(píng)審意見(jiàn)進(jìn)行 相應(yīng)的整改,形成最終的整改材料。專(zhuān)家意見(jiàn)、整改措施及其總結(jié)。51.風(fēng)險(xiǎn)處置 階段-殘余 風(fēng)險(xiǎn)處置僅一級(jí)要求:對(duì)組織提出完整的風(fēng)險(xiǎn)處 置方案。對(duì)殘余風(fēng)險(xiǎn)提出處置方案,方案至少 包含處置措施、工具、時(shí)間計(jì)劃等內(nèi) 容。52.僅一級(jí)要求:必要時(shí),對(duì)殘余風(fēng)險(xiǎn)進(jìn)行 再評(píng)估。對(duì)殘余風(fēng)險(xiǎn)進(jìn)行再評(píng)估的證明材料。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合53.上一年

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論