1、个人整理精品文档,仅供个人学习使用信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4.服 务 技 术要求基本资格建立信息安全风险评估服务流程。制定信息安全风险评估服务规范并按照规范实施。仅三级要求: 至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。仅二级要求: 针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。评估服
2、务流程, 流程图中应包括每个阶段对应的职责、输入输出等。已制定的信息安全风险评估服务规范。一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。一个已完成项目的合同、用户数、验收的证明材料, 包括管理和技术层面脆弱性识别的材料。1 / 9个人整理精品文档,仅供个人学习使用序要点号5.6.7.8.9.10.准备阶段-11. 服 务 方 案制定12.13.条款仅一级要求: 能够在全国范围内,针对5 个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。仅三级要求: 具备
3、跟踪信息安全漏洞的能力仅二级要求: 具备跟踪、验证信息安全漏洞的能力。仅一级要求: 具备跟踪、 验证、 挖掘信息安全漏洞的能力。编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。仅二级 / 一级要求: 应进行充分的系统调研,形成调研报告。仅二级 / 一级要求: 宜根据风险评估目标以及调研结果,确定评估依据和评估方法。仅二级 /一级要求: 应形成较为完整的需提供证明材料5 个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。跟踪信息安全漏洞的证明材料跟踪、验证信息安全漏洞的证明材料
4、跟踪、验证、挖掘信息安全漏洞的证明材料。信息安全风险评估方案、 风险评估模板。已完成项目的风险评估方案, 方案中应包含风险评价原则。已完成项目的系统调研报告, 报告中对被评估对象有清晰的描述。已完成项目的风险评估实施方案中应根据目标及调研结果, 明确评估依据和评估方法, 评估依据和评估方法符合国家标准、行业标准及相关要自评估结论不证明材料清单符符合合2 / 9个人整理精品文档,仅供个人学习使用序要点条款号风险评估实施方案。自评估结论需提供证明材料不证明材料清单符符合合求。14.15.准备阶段 - 人 员 和 工16. 具管理17.18.风 险 识 别19.阶段 - 资产20. 识别应组建评估团
5、队。风险评估实施团队应由管理层、相关业务骨干、 IT 技术人员等组成。应根据评估的需求准备必要的工具。应对评估团队实施风险评估前进行安全教育和技术培训。仅二级 /一级要求: 需采取相关措施,保障工具自身的安全性、适用性。仅一级要求: 需采取相关措施, 保障工具管理的规范性。参考国家或国际标准,对资产进行分类。识别重要信息资产,形成资产清单。已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。已完成项目的风险评估方案中对评估工具的介绍, 工具列表及主要功能描述。项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培
6、训的材料。工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。已制定的工具管理制度及执行记录。参照已发布的标准,形成的资产分类列表。已完成项目的重要资产清单。3 / 9序要点条款号对已识别的重要资产,分析资产的保密21.性、完整性和可用性等安全属性的等级要求。对资产根据其在保密性、完整性和可用22.性上的等级分析结果,经过综合评定进行赋值。仅一级要求: 识别信息系统处理的业务23.功能,重点识别出关键业务功能和关键业务流程。24.仅一级要求: 根据业务特点和业务流程识别出关键数据和关键服务。25.仅一级要求: 识别处理数据和提供服务所需的关键系统单元和关
7、键系统组件。风 险 识 别应对已识别资产的安全管理或技术脆26.弱性利用适当的工具进行核查,并形成阶段 -脆弱安全管理或技术脆弱性列表。27.性识别应对脆弱性进行赋值。28.风 险 识 别应参考国家或国际标准,对威胁进行分阶段 -威胁类;29.识别应识别所评估信息资产存在的潜在威个人整理精品文档,仅供个人学习使用需提供证明材料已完成项目的重要资产的三性等级要求列表。已完成项目的重要资产赋值表。已完成项目中识别信息系统、 以及业务系统承载的业务、 业务流程的证明材料。已完成项目中识别信息系统、 以及业务系统承载的业务、 业务流程的证明材料。已完成项目中对处理数据和提供服务所需的关键系统单元和关键
8、系统组件的识别分析证明材料。已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。已完成项目的脆弱性赋值列表。威胁分类清单。已完成项目中的威胁识别清单。自评估结论不证明材料清单符符合合4 / 9序要点条款号胁;个人整理精品文档,仅供个人学习使用需提供证明材料自评估结论不证明材料清单符符合合30.31.32.33.34. 风险识别 - 已 有 安 全35. 措施确认36.风 险 分 析阶段 -风险37. 分 析 模 型建立38.应识别威胁利用脆弱性的可能性;应分析威胁利用脆弱性对组织可能造成的影响。仅二级 /一级要求: 应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。仅一
9、级要求: 采用多种方法进行威胁调查。应识别组织已采取的安全措施;应评价已采取的安全措施的有效性。应构建风险分析模型。应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。仅二级 / 一级要求: 构建风险分析模型应将资产、威胁、脆弱性三个基本要素已完成项目中分析威胁利用脆弱性可能性的证明材料。已完成项目中分析脆弱性发生对组织造成影响的证明材料。已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。已完成项目中采取多种威胁调查方法的证明材料。已完成项目中的已识别的安全措施列表。已完成项目中分析安全措施有效性的证明材料。已完成项目的风险评估报告中对风险分析模型的描述,并验证其
10、可行性、科学性。已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行5 / 9序要点号39.风 险 分 析40. 阶段 -风险计 算 方 法确定41.42.风 险 分 析阶段 -风险评价43.条款及每个要素各自的属性进行关联。仅三级要求: 应根据分析模型确定的方法计算出风险值。仅二级 /一级要求: 在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。仅二级 /一级要求: 风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。应根据风险评价准则确定风险等级。仅二级
11、/一级要求: 应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。个人整理精品文档,仅供个人学习使用自评估结论需提供证明材料不证明材料清单符符合合关联的证明材料。已完成项目的风险评估报告中对计算方法的描述, 计算得出风险值的过程。已完成项目的风险评估报告中对评估方法、评价方法、 计算方法的描述,计算得出风险值的过程。已完成项目的风险评估报告中的评价准则, 并根据评价准则确定风险等级的证明材料。已完成项目的风险评估报告中的安全评价内容。44.风险分析-应向客户提供风险评估报告。风 险 评 估报告应包括但不限于评估过程、评估方45.报告法、评估结果、处置建议等内容。已完成的所申请资质级别
12、要求的风险评估报告, 报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。6 / 9个人整理精品文档,仅供个人学习使用序要点条款需提供证明材料号仅二级 / 一级要求: 风险评估报告中应已完成项目的风险评估报告中对风46.对计算分析出的风险给予比较详细的险给予详细说明的证明材料。说明。风 险 处 置仅二级 /一级要求: 应协助被评估组织已完成项目的风险评估报告或建议阶段 -风险47.确定风险处置原则,以及风险处置原则报告中对风险处置原则及适用的范处 置 原 则适用的范围和例外情况。围和例外情况说明的证明材料。确定风 险 处 置仅二级 /一级要求: 对组织不可接受的已完成项目的风险评估报告
13、或建议48. 阶段 -安全报告中对组织不可接受的风险提出风险提出风险处置措施。整改建议风险处置措施或建议的证明材料。仅一级要求: 协助被评估组织召开评审服务提供者协助被评估组织组织评49.审会的证明材料,如会议通知、专家风 险 处 置会。签到表、专家意见等。阶段 -组织50.评审会仅一级要求: 依据最终的评审意见进行已完成项目的专家评审意见、 整改措相应的整改,形成最终的整改材料。施及其总结。仅一级要求: 对组织提出完整的风险处已完成项目的残余风险处置方案,方51.案至少包含处置措施、工具、时间计风 险 处 置置方案。划等内容。阶段 -残余52.风险处置仅一级要求: 必要时, 对残余风险进行已完成项目中对残余风险进行再评再评估。估的证明材料。自评估结论不证明材料清单符符合合7 / 9个人整理精品文档,仅供个人学习使用自评估序结论条款需提供证明材料不证明材料清单要点号符符合合53. 上一年度提出的观察项整改情况(如有)54.55.56. 上一年度提出的不符合项整改情况(如有)57.58.8 / 9
