收藏
下载资源 加入VIP,省得不是一点点

信息安全风险评估服务资质认证自评估表.doc

上传人:创****公 文档编号:219166 上传时间:2018-07-21 格式:DOC 页数:9 大小:152KB
下载 相关 举报
信息安全风险评估服务资质认证自评估表.doc_第1页
第1页 / 共9页
信息安全风险评估服务资质认证自评估表.doc_第2页
第2页 / 共9页
信息安全风险评估服务资质认证自评估表.doc_第3页
第3页 / 共9页
信息安全风险评估服务资质认证自评估表.doc_第4页
第4页 / 共9页
信息安全风险评估服务资质认证自评估表.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 1 页 共 9 页 信息安全 风险评估 服务 资质 认证 自评估表 组织名称 申报 级别 评估时间 评估部门 /人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立 的 信息安全风险评估服务 流程 , 流程图中应包括每个阶段对应的职责、输入输出等。 2. 制定信息安全 风险评估服务 规范并按照规范实施。 已制定的 信息安全风险评估服务规范 。 3. 基本资格 仅三级要求: 至少有一个完

2、成的风险评估项目,该系统的用户数在 1,000以 上;具备从 管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括 管理或(和)技术层面脆弱性识别的材料。 4. 仅二级要求: 针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和 技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括 管理和技术层面脆弱性识别的材料。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 2 页 共 9 页 序号 要点 条款

3、 需提供证明材料 自评估结论 证明材料清单 符合 不符合 5. 仅一级要求: 能够在全国范围内,针对5 个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数 在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5 个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。 6. 仅三级要求: 具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料 7. 仅二级要求: 具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料 8. 仅一级要求: 具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信

4、息安全漏洞 的证明材料。 9. 准备阶段 -服务方案制定 编制风险评估方案、风险评估模 板,并在项目实施过程中按照模板实施 。 信息安全风险评估方案、风险评估模板。 10. 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应 包含风险评价原则。 11. 仅二级 /一级要求: 应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对 被评估对象有清晰的描述。 12. 仅二级 /一级要求: 宜根据风险评估目标以及调研结果,确定评估依据和评估方法。 已完成项目的 风险评估 实施 方案 中应根据目标及调研结果, 明确评估依据和评估方法,

5、评估依据和评 估方法符合国家标准、行业标准及相关要13. 仅二级 /一级要求: 应形成较为完整的 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 3 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 风险评估实施方案。 求。 14. 准备阶段 -人员和工具 管理 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、 IT 技术人员等组成。 已完成项目的 风险评估方案 中对 风险评估实施团队 成员及团队构架的介绍。 15. 应根据评估的需求准备必要的工具。 已完成项目的风险评估方案中

6、对 评估工具 的介绍, 工具列表及主要功能描述。 16. 应对评估团队实施风险评估前进行 安全教育和技术培训。 项目实施前的安全教育及技术培训的证明 材料,如启动会的 PPT, PPT中包含培训的内 容,以及 其他 可 证明对其安全教育、技术方面培训的材料 。 17. 仅二级 /一级要求: 需采取相关措施,保障工具自身的安全性、适用性 。 工具的安全测试证明材料; 定期或工具软件有重大版本变更时,对工具软件进行适用性确认 的测试记录。 18. 仅一级要求: 需采取相关措施,保障工具管理的规范性 。 已制定的 工具管理制度 及执行记录。 19. 风险识别阶段 -资产识别 参考国家或国际标准,对资

7、产进行分类。 参照已发布的标准,形成的资产分类列表。 20. 识别重要信息资产,形 成资产清单。 已完成 项目的重要资产清单。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 4 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 21. 对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。 已完成 项目的重要资产的三性等级要求列表 。 22. 对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 已完成 项目的重要资产赋值表。 23. 仅一级

8、要求: 识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。 已完成项目中识别信息系统、以及业务系统承载的 业务、业务流程的证明材料。 24. 仅一级要求: 根据业务特点和业务流程识别出关键 数据和关键服务。 已完成项目中识别信息系统、以及业务系统承载的 业务、业务流程的证明材料。 25. 仅一级要求: 识别处理数据和提供服务所需的关键系统单元和关键系统组件。 已完成项目中对 处理数据和提供服务所需的关键系统单元和关键系统组件 的识别分析证明材料。 26. 风险识别阶段 -脆弱性识别 应对已识别资产的安 全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或 技术脆弱性列表。

9、 已完成项目中对脆弱性识别时使用的工具列表、管理或 技术脆弱性列表。 27. 应对脆弱性进行赋值。 已完成 项目的脆弱性赋值列 表。 28. 风险识别阶段 -威胁识别 应参考国家或国际标准,对威胁进行分类 ; 威胁分类清单。 29. 应识别所评估 信息资产存在的潜在威 已完成 项目中的威胁识别清单 。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 5 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 胁; 30. 应识别威胁利用脆弱性的可能性; 已完成项目中 分析 威胁利用脆弱性可能性

10、的证明材料。 31. 应分析威胁利用脆弱性对组织可能造成的影响。 已完成项目中 分析脆弱性发生对组织造成影响的证明材料。 32. 仅二级 /一级要求: 应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。 已完成项目中对组织和信息系统造成的潜在威胁进行 分析的证明材料。 33. 仅一级要求: 采用多种方法进行威胁调查。 已完成项目中采取多种威胁调查 方法 的 证明材料。 34. 风险识别 -已有安全措施确认 应识别组织已采取的安全措施; 已完成项目 中 的已识别的安全措施列表。 35. 应评价已采取的安全措施的有效性。 已完成项目中分析 安全措施有效性的证明材料。 36. 风险分析阶

11、段 -风险分析模型建立 应构建风险分析模型。 已完成项目的风险评估报告中对 风险分析模型的描述,并验证其可行性、科学性。 37. 应根 据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。 已完成项目的风险评估报告中,对威胁、脆弱性及安全措施 分析的描述。 38. 仅二级 /一级要求: 构建风险分析模型应将资产、威胁、脆弱性三个基本要素 已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 6 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论

12、证明材料清单 符合 不符合 及每个要素各自的属性进行关联。 关联的证明材料。 39. 风险分析阶段 -风险计算方法确定 仅三级要求: 应根据分析模型确定的方法计算出风险值。 已完成项目的风险评估报告中对计算方法的描述,计算得出风险值的过程。 40. 仅二级 /一级 要求: 在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。 已完成项目的风险评估报告中对评估方法、评价方法、计算方法的描述,计算得出风险值的过程。 41. 仅二级 /一级要求: 风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。 42. 风险分析阶段 -风险评价 应根据

13、风险评价准则确定风险等级。 已完成项目的风险评估报告中的评价准则,并根据评价准则确定风险等级的证明材料。 43. 仅二级 /一级要求: 应对不同等级的安全风险进行统计、评价,形成 最终的总体安全评价。 已完成项目的风险评估报告中的安全评价内容。 44. 风险分析 -风险评估报告 应向客户提供风险评估报告。 已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。 45. 报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第

14、 7 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 46. 仅二级 /一级要求: 风险评估报告中应对计算分析出的风险给予比较详细的说明。 已完成项目的 风险评估报告 中 对风险给予详细说明 的证明材料 。 47. 风险处置阶段 -风险处置原则确定 仅二级 /一级 要求: 应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。 已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况 说明 的证明材料。 48. 风险处置阶段 -安全整改建议 仅二级 /一级要求: 对组织不可接受的风险提出风险处置措施。 已完成项目的 风

15、险评估报告或建议报告中 对组织不可接受的风险提出风险处置措施或建议 的证明材料。 49. 风险处置阶段 -组织评审会 仅一级要求: 协助被评估组织召开评审会。 服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见 等。 50. 仅一级要求: 依据最终的评审意见进行相应的整改,形成最终的整改材料。 已完成项目的 专家 评审 意见、整改措施及其总结。 51. 风险处置阶段 -残余风险处置 仅一级要求: 对组织提出完整的风险处置方案。 已完成项目的残余风险 处置方案,方案至少包含处置措施、工具、时间计划等内容。 52. 仅一级要求: 必要时,对残余风险进行再评估。 已完成项

16、目中 对残余风险进行再评估的证明材料。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 8 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 53. 上一年度提出的观察项整改 情况 (如有) 54. 55. 56. 上一年度提出的 不符合项整改 情况 (如有 ) 57. 58. CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国 网络安全审查技术与认证中心 制 第 9 页 共 9 页 自评估 结论: 经自主评估,本 单位 的信息安全风险评估服务 满足 信息安全服务 规范 级 要求,申请第三方 审核 。 本 单位 郑重承诺, 信息安全服务资质认证自评估表 -公共管理与 本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 表格模板

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。