信息安全风险评价服务资质认证自评价表-中国信息安全认证中心.DOC

ISCCC-QOT-0428-B/2 信息安全风险评估服务资质认证自评估表 中国信息安全认证中心 制 第 PAGE 8 页 共 NUMPAGES 9 页信息安全风险评估服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合基本资格至少有一个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。提供一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。仅二级/一级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力。提供一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证、挖掘信息安全漏洞的能力。提供5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。提供跟踪、验证、挖掘信息安全漏洞的证明材料。准备阶段-服务方案制定编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施信息安全风险评估方案、风险评估模板。仅二级/一级要求：根据评估目标和范围，确定风险评估对象中包含的信息系统，以及对组织的资产进行分类。对被评估的信息系统进行识别的证明材料。应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。已完成项目的风险评估方案，方案中包含风险评价原则。仅二级/一级要求：应进行充分的系统调研，形成调研报告。已完成项目的系统调研报告，报告中被评估对象有清晰的描述。仅二级/一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。风险评估方案明确评估依据和评估方法，评估依据和评估方法符合国家标准、行业标准及相关要求。仅二级/一级要求：应形成较为完整的风险评估实施方案。准备阶段-人员和工具准备应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。风险评估方案明确风险评估实施团队，团队成员应由管理层、相关业务骨干、IT技术人员等角色组成。应根据评估的需求准备必要的工具。风险评估方案明确风险评估工具，检查其工具列表及主要功能描述。应对评估团队实施风险评估前进行安全教育和技术培训。项目实施前的安全教育及技术培训的证明材料，如启动会的PPT，PPT中包含培训的内容。对项目采取文档化管理项目管理制度中包含文档管理的相关内容。仅二级/一级要求：需采取相关措施， 保障工具自身的安全性、适用性；工具的安全测试证明材料；风险评估启动前的工具测试记录，记录包括对工具的适用性记录。仅二级/一级要求：建立项目管理规程，对项目按规程进行管理参照ISCCC提供的项目管理制度，结合一个已完成项目查验其项目管理制度的可行性。仅一级要求：需采取相关措施， 保障工具管理的规范性以及工具自身的安全性、适用性；建立相应的工具管理制度，并按照制度执行。仅一级要求：建立项目管理规程，对项目按规程进行管理；必要时，采取项目群、项目组合管理。项目管理制度，结合一个已完成项目查验项目管理制度的可行性。查验其对项目群、项目组合管理要求，及其实施的记录。风险识别阶段-资产识别参考国家或国际标准，对资产进行分类。参照已发布的标准，形成的资产分类列表。识别重要信息资产，形成资产清单。项目的重要资产清单。对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。项目的重要资产的三性等级要求列表对资产进行赋值项目的重要资产赋值表。仅一级要求：识别信息系统处理的业务功能，重点识别出关键业务功能和关键业务流程。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。仅一级要求：根据业务特点和业务流程应识别出关键数据和关键服务。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。仅一级要求：识别处理数据和提供服务所需的关键系统单元和关键系统组件。项目中的处理数据和提供服务所需的关键系统单元和关键系统组件。风险识别阶段-脆弱