信息安全风险服务资质认证自表.docxVIP

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 信息安全风险评估服务资质认证自评估表 组织名称 申报级别 评估时间 评估部门/人员 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 1. 服务技术 要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险 评估服务流程，流程图中应包括每 个阶段对应的职责、输入输出等。 2. 服务技术 要求 制定信息安全风险评估服务规范并按 照规范实施。 已制定的信息安全风险评估服务规 范。 3. 基本资格 仅三级要求：至少有一个完成的风险 评估项目，该系统的用户数在1,000以 上；具备从管理或（和）技术层面对 脆弱性进行识别的能力。 一个已完成项目的合同、用户数、 验收的证明材料，包括管理或（和） 技术层面脆弱性识别的材料。 4. 基本资格 仅二级要求：针对多种类型组织，多 行业组织，至少完成一个风险评估项 目，该系统的用户数在 10,000 以上； 具备从管理和技术层面对脆弱性进行 识别的能力。 一个已完成项目的合同、用户数、 验收的证明材料，包括管理和技术 层面脆弱性识别的材料。 中国网络安全审查技术与认证中心 制  第 1 页 共 9 页 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 5. 仅一级要求：能够在全国范围内，针 对 5 个（含）以上行业开展风险评估 服务；至少完成两个风险评估项目， 该系统的用户数在 100,000 以上；具备 从业务、管理和技术层面对脆弱性进 行识别的能力。 5 个已完成项目的合同、用户数、验 收的证明材料，从业务、管理和技 术层面对脆弱性进行识别的材料。 6. 仅三级要求：具备跟踪信息安全漏洞 的能力 跟踪信息安全漏洞的证明材料 7. 仅二级要求：具备跟踪、验证信息安 全漏洞的能力。 跟踪、验证信息安全漏洞的证明材 料 8. 仅一级要求：具备跟踪、验证、挖掘 信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的 证明材料。 9. 准备阶段- 服务方案 制定 编制风险评估方案、风险评估模板， 并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估 模板。 10. 准备阶段- 服务方案 制定 应为风险评估实施活动提供总体计划 或方案，方案应包含风险评价原则。 已完成项目的风险评估方案，方案 中应包含风险评价原则。 11. 准备阶段- 服务方案 制定 仅二级/一级要求：应进行充分的系统 调研，形成调研报告。 已完成项目的系统调研报告，报告 中对被评估对象有清晰的描述。 12. 准备阶段- 服务方案 制定 仅二级/一级要求：宜根据风险评估目 标以及调研结果，确定评估依据和评 估方法。 已完成项目的风险评估实施方案中 应根据目标及调研结果，明确评估 依据和评估方法，评估依据和评估 方法符合国家标准、行业标准及相 13. 准备阶段- 服务方案 制定 仅二级/一级要求：应形成较为完整的 已完成项目的风险评估实施方案中 应根据目标及调研结果，明确评估 依据和评估方法，评估依据和评估 方法符合国家标准、行业标准及相 中国网络安全审查技术与认证中心 制  第 2 页 共 9 页 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 序 号 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单 风险评估实施方案。 关要求。 14. 准备阶段- 人员和工 具管理 应组建评估团队。风险评估实施团队 应由管理层、相关业务骨干、IT 技术 人员等组成。 已完成项目的风险评估方案中对风 险评估实施团队成员及团队构架的 介绍。 15. 准备阶段- 人员和工 具管理 应根据评估的需求准备必要的工具。 已完成项目的风险评估方案中对评 估工具的介绍，工具列表及主要功 能描述。 16. 准备阶段- 人员和工 具管理 应对评估团队实施风险评估前进行安 全教育和技术培训。 项目实施前的安全教育及技术培训 的证明材料，如启动会的 PPT，PPT 中包含培训的内容，以及其他可证 明对其安全教育、技术方面培训的 材料。 17. 准备阶段- 人员和工 具管理 仅二级/一级要求：需采取相关措施， 保障工具自身的安全性、适用性。 工具的安全测试证明材料；定期或 工具软件有重大版本变更时，对工 具软件进行适用性确认的测试记录。 18. 准备阶段- 人员和工 具管理 仅一级要求：需采取相关措施，保障 工具管理的规范性。 已制