信息安全服務(wù)資質(zhì)認(rèn)證--風(fēng)險評估類自評表

1、ISCCC-QOT-0453-B/1 信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證自評估表信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證自評估表組織名稱申報級別評估時間評估部門/人員序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.基本資格至少有一個完成的風(fēng)險評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在1,000以上；具備從管理或（和）技術(shù)層面對脆弱性進(jìn)行識別的能力。提供一個已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理或（和）技術(shù)層面脆弱性識別的材料。2.僅二級/一級要求：針對多種類型組織，多行業(yè)組織，至少完成一個風(fēng)險評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術(shù)層面對脆弱性進(jìn)行識別的能力。提供一個已完成項(xiàng)目的合

2、同、用戶數(shù)、驗(yàn)收的證明材料，包括管理和技術(shù)層面脆弱性識別的材料。3.僅一級要求：能夠在全國范圍內(nèi)，針對5個（含）以上行業(yè)開展風(fēng)險評估服務(wù)；至少完成兩個風(fēng)險評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在100,000以上；具備從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進(jìn)行識別的能力。具備跟蹤、驗(yàn)證、挖掘信息安全漏洞的能力。提供5個已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進(jìn)行識別的材料。提供跟蹤、驗(yàn)證、挖掘信息安全漏洞的證明材料。4.準(zhǔn)備階段-服務(wù)方案制定編制風(fēng)險評估方案、風(fēng)險評估模板，并在項(xiàng)目實(shí)施過程中按照模板實(shí)施信息安全風(fēng)險評估方案、風(fēng)險評估模板。5.僅二級/一級要求：根據(jù)評估目標(biāo)和范圍，確定

3、風(fēng)險評估對象中包含的信息系統(tǒng)，以及對組織的資產(chǎn)進(jìn)行分類。對被評估的信息系統(tǒng)進(jìn)行識別的證明材料。6.應(yīng)為風(fēng)險評估實(shí)施活動提供總體計(jì)劃或方案，方案應(yīng)包含風(fēng)險評價原則。已完成項(xiàng)目的風(fēng)險評估方案，方案中包含風(fēng)險評價原則。7.僅二級/一級要求：應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，形成調(diào)研報告。已完成項(xiàng)目的系統(tǒng)調(diào)研報告，報告中被評估對象有清晰的描述。8.僅二級/一級要求：宜根據(jù)風(fēng)險評估目標(biāo)以及調(diào)研結(jié)果，確定評估依據(jù)和評估方法。風(fēng)險評估方案明確評估依據(jù)和評估方法，評估依據(jù)和評估方法符合國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。9.僅二級/一級要求：應(yīng)形成較為完整的風(fēng)險評估實(shí)施方案。10.準(zhǔn)備階段-人員和工具準(zhǔn)備應(yīng)組建評估團(tuán)隊(duì)。風(fēng)險評

4、估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。風(fēng)險評估方案明確風(fēng)險評估實(shí)施團(tuán)隊(duì)，團(tuán)隊(duì)成員應(yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等角色組成。11.應(yīng)根據(jù)評估的需求準(zhǔn)備必要的工具。風(fēng)險評估方案明確風(fēng)險評估工具，檢查其工具列表及主要功能描述。12.應(yīng)對評估團(tuán)隊(duì)實(shí)施風(fēng)險評估前進(jìn)行安全教育和技術(shù)培訓(xùn)。項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)的證明材料，如啟動會的PPT，PPT中包含培訓(xùn)的內(nèi)容。13.對項(xiàng)目采取文檔化管理項(xiàng)目管理制度中包含文檔管理的相關(guān)內(nèi)容。14.僅二級/一級要求：需采取相關(guān)措施， 保障工具自身的安全性、適用性；工具的安全測試證明材料；風(fēng)險評估啟動前的工具測試記錄，記錄包括對工具的適用性記

5、錄。15.僅二級/一級要求：建立項(xiàng)目管理規(guī)程，對項(xiàng)目按規(guī)程進(jìn)行管理參照ISCCC提供的項(xiàng)目管理制度，結(jié)合一個已完成項(xiàng)目查驗(yàn)其項(xiàng)目管理制度的可行性。16.僅一級要求：需采取相關(guān)措施， 保障工具管理的規(guī)范性以及工具自身的安全性、適用性；建立相應(yīng)的工具管理制度，并按照制度執(zhí)行。17.僅一級要求：建立項(xiàng)目管理規(guī)程，對項(xiàng)目按規(guī)程進(jìn)行管理；必要時，采取項(xiàng)目群、項(xiàng)目組合管理。項(xiàng)目管理制度，結(jié)合一個已完成項(xiàng)目查驗(yàn)項(xiàng)目管理制度的可行性。查驗(yàn)其對項(xiàng)目群、項(xiàng)目組合管理要求，及其實(shí)施的記錄。18.風(fēng)險識別階段-資產(chǎn)識別參考國家或國際標(biāo)準(zhǔn)，對資產(chǎn)進(jìn)行分類。參照已發(fā)布的標(biāo)準(zhǔn)，形成的資產(chǎn)分類列表。19.識別重要信息資產(chǎn)，形

6、成資產(chǎn)清單。項(xiàng)目的重要資產(chǎn)清單。20.對已識別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求。項(xiàng)目的重要資產(chǎn)的三性等級要求列表21.對資產(chǎn)進(jìn)行賦值項(xiàng)目的重要資產(chǎn)賦值表。22.僅一級要求：識別信息系統(tǒng)處理的業(yè)務(wù)功能，重點(diǎn)識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。項(xiàng)目中的識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。23.僅一級要求：根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程應(yīng)識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。項(xiàng)目中的識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。24.僅一級要求：識別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。項(xiàng)目中的處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組

7、件。25.風(fēng)險識別階段-脆弱性識別應(yīng)對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查，并形成安全管理或（和）技術(shù)脆弱性列表。項(xiàng)目中對脆弱性識別時使用的工具列表、管理或（和）技術(shù)脆弱性列表。26.應(yīng)對脆弱性進(jìn)行賦值。項(xiàng)目的脆弱性賦值列表。27.風(fēng)險識別階段-威脅識別應(yīng)參考國家或國際標(biāo)準(zhǔn)，對威脅進(jìn)行分類。威脅分類清單。28.應(yīng)識別對已識別的信息資產(chǎn)存在的潛在威脅；項(xiàng)目中的威脅識別清單29.應(yīng)識別威脅利用脆弱性的可能性；其分析脆弱性發(fā)生可能性的證明材料。30.應(yīng)分析威脅利用脆弱性對組織可能造成的影響。分析脆弱性發(fā)生對組織造成影響的證明材料。31.僅二級/一級要求：依據(jù)相關(guān)標(biāo)準(zhǔn)中的威脅分類方法

8、對威脅進(jìn)行分類。威脅類別清單32.僅二級/一級要求：應(yīng)識別出組織和信息系統(tǒng)中潛在的對組織和信息系統(tǒng)造成影響的威脅。對組織和信息系統(tǒng)造成的潛在威脅，以及分析的證明材料。33.僅一級要求：采用多種方法進(jìn)行威脅調(diào)查。威脅調(diào)查的方法證明材料。34.風(fēng)險識別-已有安全措施確認(rèn)應(yīng)識別組織已采取的安全措施；已完成項(xiàng)目的已識別的安全措施列表。35.應(yīng)評價已采取的安全措施的有效性。安全措施有效性的證明材料。36.風(fēng)險分析階段 -風(fēng)險分析模型建立應(yīng)構(gòu)建風(fēng)險分析模型。已完成項(xiàng)目的風(fēng)險評估報告中的風(fēng)險分析模型的描述，并驗(yàn)證其可行性、科學(xué)性。37.應(yīng)根據(jù)風(fēng)險分析模型對已識別的重要資產(chǎn)的威脅、脆弱性及安全措施進(jìn)行分析。已

9、完成項(xiàng)目的風(fēng)險評估報告中，對資產(chǎn)、脆弱性及安全措施的分析的描述。38.應(yīng)根據(jù)分析模型確定的方法計(jì)算出風(fēng)險值。已完成項(xiàng)目的風(fēng)險評估報告中對計(jì)算方法的描述，并得出風(fēng)險值。39.僅二級/一級要求：構(gòu)建風(fēng)險分析模型應(yīng)將資產(chǎn)、威脅、脆弱性三個基本要素及每個要素各自的屬性進(jìn)行關(guān)聯(lián)。已完成項(xiàng)目的風(fēng)險評估報告中對資產(chǎn)、威脅、脆弱性三個基本要素進(jìn)行關(guān)聯(lián)的證明材料。40.僅二級/一級要求：資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。41.風(fēng)險分析階段 -風(fēng)險計(jì)算方法確定僅二級/一級要求：在風(fēng)險計(jì)算時，應(yīng)根據(jù)實(shí)際情況選擇

10、定性計(jì)算方法或定量計(jì)算方法。項(xiàng)目的風(fēng)險評估報告中的計(jì)算方法。42.風(fēng)險分析階段 -風(fēng)險評價應(yīng)根據(jù)風(fēng)險評價準(zhǔn)則確定風(fēng)險等級。項(xiàng)目的風(fēng)險評估報告中的評價準(zhǔn)則，確定該項(xiàng)目的風(fēng)險等級。43.僅二級/一級要求：應(yīng)對不同等級的安全風(fēng)險進(jìn)行統(tǒng)計(jì)、評價，形成最終的總體安全評價。項(xiàng)目的風(fēng)險評估報告中的安全評價內(nèi)容。44.風(fēng)險分析-風(fēng)險評估報告應(yīng)向客戶提供風(fēng)險評估報告。已完成級別所要求的風(fēng)險評估報告。45.報告應(yīng)包括但不限于評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容。 風(fēng)險評估是否按照模板實(shí)施，報告中至少包括評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容。46.僅二級/一級要求：風(fēng)險評估報告中應(yīng)對本次評估建立的風(fēng)

11、險分析模型進(jìn)行說明，并應(yīng)闡明本次評估采用的風(fēng)險計(jì)算方法及風(fēng)險評價方法。2-3份報告中對評估模型、評估方法、評價方法等描述的內(nèi)容。僅二級/一級要求：風(fēng)險評估報告中應(yīng)對計(jì)算分析出的風(fēng)險給予比較詳細(xì)的說明。風(fēng)險評估報告對風(fēng)險給予詳細(xì)說明。47.風(fēng)險處置階段-風(fēng)險處置原則確定僅二級/一級要求：應(yīng)協(xié)助被評估組織確定風(fēng)險處置原則，以及風(fēng)險處置原則適用的范圍和例外情況。風(fēng)險評估報告或建議報告中對風(fēng)險處置原則及適用的范圍和例外情況的說明。48.風(fēng)險處置階段-安全整改建議僅二級/一級要求：對組織不可接受的風(fēng)險提出風(fēng)險處置措施。風(fēng)險評估報告或建議報告中對組織不可接受的風(fēng)險提出風(fēng)險處置措施或建議。49.風(fēng)險處置階段-組織評審會僅一級要求：協(xié)助被評估組織召開評審會。服務(wù)提供者協(xié)助被評估組織組織評審會的證明材料，如會議通知、專家簽到表、專家意見等。50.僅一級要求：依據(jù)最終的評審意見進(jìn)行相應(yīng)的整改，形成最終的整改材料。專家意見、整改措施及其總結(jié)。51.風(fēng)險處置階段-殘余風(fēng)險處置僅一級要求：對組織提出完整的風(fēng)險處置方案。對殘余風(fēng)險提出處置方案，方案至少包含處置措施、工具、時間計(jì)劃等內(nèi)容。52.僅一級要求：必要時，對殘余風(fēng)險進(jìn)行再評估。對殘余風(fēng)險進(jìn)行再評估的證明材料。53.上一年度提出的觀察項(xiàng)跟蹤驗(yàn)證情況（如有）54.55.56.57.上一年度提出的不符合項(xiàng)跟蹤驗(yàn)證情