返回
信息安全风险评估服务资质认证自评估表

信息安全风险评估服务资质认证自评估表

ID:11302138

大小:148.50 KB

页数:9页

时间:2018-07-11

信息安全风险评估服务资质认证自评估表_第1页
信息安全风险评估服务资质认证自评估表_第2页
信息安全风险评估服务资质认证自评估表_第3页
信息安全风险评估服务资质认证自评估表_第4页
信息安全风险评估服务资质认证自评估表_第5页
资源描述:

《信息安全风险评估服务资质认证自评估表》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、ISCCC-QOT-0428-B/3信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全风险评估服务流程。按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。2.制定信息安全风险评估服务规范并按照规范实施。已制定的信息安全风险评估服务规范。3.基本资格仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)

2、技术层面对脆弱性进行识别的能力。一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。4.仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。中国信息安全认证中心制第9页共9页ISCCC-QOT-0428-B/3信息安全风险评估服务资质认证自评估表1.仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估

3、服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。2.仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。跟踪、验证、挖掘信息安全漏洞的证明材料。3.准备阶段-服务方案制定编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。信息安全风险评估方案、风险评估模板。4.应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。已完成项目的风险评估方案,

4、方案中应包含风险评价原则。5.仅二级/一级要求:应进行充分的系统调研,形成调研报告。已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。6.仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。7.仅二级/一级要求:应形成较为完整的风险评估实施方案。8.准备阶段-人员和工具管理应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。已完成项目的风险

5、评估方案中对风险评估实施团队成员及团队构架的介绍。中国信息安全认证中心制第9页共9页ISCCC-QOT-0428-B/3信息安全风险评估服务资质认证自评估表1.应根据评估的需求准备必要的工具。已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。2.应对评估团队实施风险评估前进行安全教育和技术培训。项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。。3.仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。工具的安全

6、测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。4.仅一级要求:需采取相关措施,保障工具管理的规范性。已制定的工具管理制度及执行记录。5.风险识别阶段-资产识别参考国家或国际标准,对资产进行分类。参照已发布的标准,形成的资产分类列表。6.识别重要信息资产,形成资产清单。已完成项目的重要资产清单。7.对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。已完成项目的重要资产的三性等级要求列表。8.对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值

7、。已完成项目的重要资产赋值表。中国信息安全认证中心制第9页共9页ISCCC-QOT-0428-B/3信息安全风险评估服务资质认证自评估表1.仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。2.仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。3.仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。已完成项目中对处理数据和提供服务

8、所需的关键系统单元和关键系统组件的识别分析证明材料。4.风险识别阶段-脆弱性识别应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。5.应对脆弱性进行赋值。已完成项目的脆弱性赋值列表。6.风险识别阶段-威胁识别应参

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。