安全工程一级申请书最终.docx

编号：

国家信息平安测评

信息平安效劳资质申请书

(平安工程类一级)

申请单位〔公章〕：

填表日期：

?版权2023—中国信息平安测评中心2023年1月1日

申请单位的信息平安工程过程能力

本项应包括以下十一项内容：

1．评估系统平安威胁的能力；

2．评估系统脆弱性的能力；

3．评估平安对系统的影响的能力；

4．评估系统平安风险的能力；

5．确定系统的平安需求的能力；

6．确定系统的平安输入的能力；

7．进行管理平安控制的能力；

8．进行监测系统平安状况的能力；

9．进行平安协调的能力；

10．进行检测和证实系统平安性的能力；

11．进行建立系统平安的保证证据的能力。

6.1 评估系统平安威胁的能力

本项要求：

1．详细描述申请单位是如何识别系统所面临的各种平安威胁及其性质和特征；

2．详细描述申请组织是如何对威胁的可能性进行评估的；

3．提供一份具体工程中关于评估系统平安威胁的相应文档、记录。

表6－1

描述如何对系统平安威胁进行评估

详细描述

系统安全威胁是在信息系统中存在的对机构、组织或部门造成某种损害的潜在可

能性，可能导致信息安全事故和组织信息资产损失的活动,威胁是利用脆弱性来造成

后果的。系统安全威胁来自于两个方面：人为威胁和自然威胁，其中人为威胁造成的

损失远远大于自然威胁。人为威胁可以分为两部分：一是意外的人为威胁，由各类不

确定因素综合在一起时偶然发生的；二是有意的人为威胁，由有意的行为所引起的。

自然威胁是不以人的意志为转移的不可抗拒的自然事件，如地震、雷击、洪灾和火灾

等。

识别人为威胁，应描述其威胁如何发生的，测试其威胁相关事件的可能性。同时

进行评估性工作，如评估由人为原因引起的威胁作用力的技能和效力。识别自然威胁

需要根据评估目标所在的位置的地理因素来进行评估，对于非地震带、内陆、山区、

干旱地区等地理因素进行充分的识别，避免评估中的偏差。

就威胁本身来说，评估威胁可能性时有两个关键因素需要考虑，一个是威胁源的

动机，包括趋利、报复、破坏等；另一个是威胁源的能力，包括其技能、环境、机会

等。威胁源的能力和动机都用“高〞、“中〞、“低〞这三级来衡量。在评估威胁事件可

能性时，我们充分考虑多种因素，如一项资产可能面临多个威胁，而一个威胁也可能

对不同的资产造成影响，同时也注意在不同的安全服务项目中，各因素出现的概率都

有所不同。

威胁事件发生的可能性，需要从三个方面进行评定：一是历史威胁情况，曾经发

生过的威胁和威胁发生次数可以为威胁事件发生的可能性提供一个最重要的参考数

据；二是威胁在整个社会层面上，总体的发展态势；三是威胁形成的复杂程度。具体

的威胁评估结果会随着时间的变动而需要重新审核，所以在威胁评估中，评估者的专

家经验非常重要。

公司建立、实施并保持《安全危险因素识别、评价与更新控制程序》，对能够控制

和能够施加影响的环境因素，及在相关的活动、产品、场所、人员、管理及变更中的

危险源进行识别、评价，确定和更新重要环境因素和不