信息安全風險評估服務資質(zhì)認證自評估表_第1頁
信息安全風險評估服務資質(zhì)認證自評估表_第2頁
信息安全風險評估服務資質(zhì)認證自評估表_第3頁
信息安全風險評估服務資質(zhì)認證自評估表_第4頁
信息安全風險評估服務資質(zhì)認證自評估表_第5頁
已閱讀5頁,還剩15頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

信息安全風險評估服務資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門人員序號要點條款需提供證明材料自評估結論證明材料清單符合不符合1.服務技術要求建立信息安全風險評估服務流程。按照相關標準建立的信息安全風險評估服務流程,流程圖中應包括每個階段對應的職責、輸入輸生等。

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合2.制定信息安全風險評估服務規(guī)范并按照規(guī)范實施。已制定的信息安全風險評估服務規(guī)范。3.基本資格僅三級要求:至少有一個完成的風險評估項目,該系統(tǒng)的用戶數(shù)在以上;具備從管理或(和)技術層面對脆弱性進行識別的能力。一個已完成項目的合同、用戶數(shù)、驗收的證明材料,包括管理或(和)技木層面脆弱性識別的材料。4.僅一級要求:針對多種類型組織,多行業(yè)組織,至少完成一個風險評估項目,該系統(tǒng)的用戶數(shù)在以個已完成項目的合同、用戶數(shù)、驗收的證明材料,包括管理和技術層面脆弱性識別的材

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合上;具備從管理和技術層面對脆弱性進行識別的能力。料。5.僅一級要求:能夠在全國范圍內(nèi),針對個(含)以上行業(yè)開展風險評估服務;至少完成兩個風險評估項目,該系統(tǒng)的用戶數(shù)在以上;具備從業(yè)務、管理和技術層面對脆弱性進行識別的能力。個已完成項目的合同、用戶數(shù)、驗收的證明材料,從業(yè)務、管理和技術層面對脆弱性進行識別的材料。6.僅三級要求:具備跟蹤信跟蹤信息安全漏洞的證

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合息安全漏洞的能力明材料7.僅二級要求:具備跟蹤、驗證信息安全漏洞的能力。跟蹤、驗證信息安全漏洞的證明材料8.僅一級要求:具備跟蹤、驗證、挖掘信息安全漏洞的能力。跟蹤、驗證、挖掘信息安全漏洞的證明材料。9.準備階段服務方案制定編制風險評估方案、風險評估模板,并在項目實施過程中按照模板實施。信息安全風險評估方案、風險評估模板。10.應為風險評估實施活動提供總體計劃或方案,方案已完成項目的風險評估方案,方案中應包含風

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合應包含風險評價原則。險評價原則。11.僅二級一級要求:應進行充分的系統(tǒng)調(diào)研,形成調(diào)研報告。已完成項目的系統(tǒng)調(diào)研報告,報告中對被評估對象有清晰的描述。12.僅二級一級要求:宜根據(jù)風險評估目標以及調(diào)研結果,確定評估依據(jù)和評估方法。已完成項目的風險評估實施方案中應根據(jù)目標及調(diào)研結果,明確評估依據(jù)和評估方法,評估依據(jù)和評估方法符合國家標準、行業(yè)標準及相關要求。13.僅二級一級要求:應形成較為完整的風險評估實施方案。14.準備階應組建評估團隊。風險評已完成項目的風險評估

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合段人員和工具管理估實施團隊應由管理層、相關業(yè)務骨干、技術人員等組成。方案中對風險評估實施團隊成員及團隊構架的介紹。15.應根據(jù)評估的需求準備必要的工具。已完成項目的風險評估方案中對評估工具的介紹,工具列表及主要功能描述。項目實施前的安全教育應對評估團隊實施風險評及技術培訓的證明材16.估前進行安全教育和技術培訓。料,如啟動會的,中包含培訓的內(nèi)容,以及其

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合他可證明對其安全教育、技術方面培訓的材料。17.僅二級一級要求:需米取相關措施,保障工具自身的安全性、適用性。工具的安全測試證明材料;定期或工具軟件有重大版本變更時,對工具軟件進行適用性確認的測試記錄。18.僅級要求:需米取相關措施,保障工具管理的規(guī)范性。已制定的工具管理制度及執(zhí)行記錄。19.風險識參考國家或國際標準,對參照已發(fā)布的標準,形

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合別階段資產(chǎn)識別資產(chǎn)進行分類。成的資產(chǎn)分類列表。20.識別重要信息資產(chǎn),形成資產(chǎn)清單。已完成項目的重要資產(chǎn)清單。21.對已識別的重要資產(chǎn),分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求。已完成項目的重要資產(chǎn)的三性等級要求列表。22.對資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級分析結果,經(jīng)過綜合評定進行賦值。已完成項目的重要資產(chǎn)賦值表。23.僅一級要求:識別信息系已完成項目中識別信息

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合統(tǒng)處理的業(yè)務功能,重點系統(tǒng)、以及業(yè)務系統(tǒng)承識別由關鍵業(yè)務功能和關載的業(yè)務、業(yè)務流程的鍵業(yè)務流程。證明材料。24.僅一級要求:根據(jù)業(yè)務特點和業(yè)務流程識別由關鍵數(shù)據(jù)和關鍵服務。已完成項目中識別信息系統(tǒng)、以及業(yè)務系統(tǒng)承載的業(yè)務、業(yè)務流程的證明材料。25.僅一級要求:識別處理數(shù)據(jù)和提供服務所需的關鍵系統(tǒng)單元和關鍵系統(tǒng)組件。已完成項目中對處理數(shù)據(jù)和提供服務所需的關鍵系統(tǒng)單元和關鍵系統(tǒng)組件的識別分析證明材料。

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合26.風險識別階段脆弱性識別應對已識別資產(chǎn)的安全管理或技術脆弱性利用適當?shù)墓ぞ哌M行核查,并形成安全管理或技術脆弱性列表。已完成項目中對脆弱性識別時使用的工具列表、管理或技術脆弱性列表。27.應對脆弱性進行賦值。已完成項目的脆弱性賦值列表。28.風險識別階段威脅識別應參考國家或國際標準,對威脅進行分類;威脅分類清單。29.應識別所評估信息資產(chǎn)存在的潛在威脅;已完成項目中的威脅識別清單。30.[應識別威脅利用脆弱性的已完成項目中分析威脅

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合可能性;利用脆弱性可能性的證明材料。31.應分析威脅利用脆弱性對組織可能造成的影響。已完成項目中分析脆弱性發(fā)生對組織造成影響的證明材料。32.僅二級一級要求:應識別由組織和信息系統(tǒng)中潛在的對組織和信息系統(tǒng)造成影響的威脅。已完成項目中對組織和信息系統(tǒng)造成的潛在威脅進行分析的證明材料。33.僅一級要求:米用多種力法進行威脅調(diào)查。已完成項目中采取多種威脅調(diào)查方法的證明材料。

自評序號估要點條款需提供證明材料結論證明材料清單符合不符合34.[77117/<>[~r:應識別組織已采取的安全已完成項目中的已識別別已有安全措施確認措施;的安全措施列表。35.應評價已采取的安全措施的啟效性。已完成項目中分析安全措施有效性的證明材料。已完成項目的風險評估36.風險分析階段應構建風險分析模型。報告中對風險分析模型的描述,并驗證具可行風險分性、科學性。析模型應根據(jù)風險分析模型對已已完成項目的風險評估37.建立識別的重要資產(chǎn)的威脅、報告中,對威脅、脆弱脆弱性及安全措施進行分性及安全措施分析的描

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合析。述。38.僅二級一級要求:構建風險分析模型應將資產(chǎn)、威脅、脆弱性三個基本要素及每個要素各自的屬性進行關聯(lián)。已完成項目的風險評估報告中對資產(chǎn)、威脅、脆弱性三個基本要素進行關聯(lián)的證明材料。39.風險分析階段風險計算方法確定僅三級要求:應根據(jù)分析模型確定的方法計算由風險值。已完成項目的風險評估報告中對計算方法的描述,計算得由風險值的iiWo40.僅二級一級要求:在風險計算時,應根據(jù)實際情況已完成項目的風險評估報告中對評估方法、評

序號自評估要點條款需提供證明材料結論證明材料清單符合不符合選擇定性計算方法或定量價方法、計算方法的描計算方法。述,計算得由風險值的41.僅二級一級要求:風險評估報告中應對本次評估建立的風險分析模型進行說明,并應闡明本次評估采用的風險計算方法及風險評價方法。iiWo42.風險分析階段風險評價應根據(jù)風險評價準則確定風險等級。已完成項目的風險評估報告中的評價準則,并根據(jù)評價準則確定風險等級的證明材料。

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合43.僅二級一級要求:應對不同等級的安全風險進行統(tǒng)計、評價,形成最終的總體安全評價。已完成項目的風險評估報告中的安全評價內(nèi)容。44.應向客戶提供風險評估報已完成的所申請資質(zhì)級告。別要求的風險評估報45.風險分析風險評估報告報告應包括但不限于評估過程、評估方法、評估結果、處置建議等內(nèi)容。告,報告中至少包括評估過程、評估方法、評估結果、處置建議等內(nèi)容。46.僅二級一級要求:風險評已完成項目的風險評估估報告中應對計算分析由報告中對風險給予詳細

序號自評估要點條款需提供證明材料結論證明材料清單符合不符合的風險給予比較詳細的說明。說明的證明材料。47.風險處置階段風險處僅二級一級要求:應協(xié)助被評估組織確定風險處置已完成項目的風險評估報告或建議報告中對風險處置原則及適用的范置原則原則,以及風險處置原則圍和例外情況說明的證確定適用的范圍和例外情況。明材料。48.風險處置階段安全整改建議僅二級一級要求:對組織/、可'接受的風險提由風險處置措施。已完成項目的風險評估報告或建議報告中對組織/、可'接受的風險提由風險處置措施或建議的證明材料。

序號自評估要點條款需提供證明材料結論證明材料清單符合不符合49.風險處置階段組織評審會僅一級要求:協(xié)助被評估組織召開評審會。服務提供者協(xié)助被評估組織組織評審會的證明材料,如會議通知、專家簽到表、專家意見等。50.僅一級要求:依據(jù)最終的評審意見進行相應的整改,形成最終的整改材料。已完成項目的專家評審意見、整改措施及其總結。51.風險處置階段僅一級要求:對組織提由完整的風險處置方案。已完成項目的殘余風險處置方案,方案至少包殘余風含處置措施、工具、時

序號要點條款需提供證明材料自評估結論證明材料清單符合不符合險處置間計劃等內(nèi)容。52.僅一級要求:必要時,對殘余風險進行再評估。已完成項目中對殘余風險進

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論