返回
信息安全风险服务资质认证自表

信息安全风险服务资质认证自表

ID:14351310

大小:156.00 KB

页数:9页

时间:2018-07-28

信息安全风险服务资质认证自表_第1页
信息安全风险服务资质认证自表_第2页
信息安全风险服务资质认证自表_第3页
信息安全风险服务资质认证自表_第4页
信息安全风险服务资质认证自表_第5页
资源描述:

《信息安全风险服务资质认证自表》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、ISCCC-QOT-0428-B/2信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.基本资格至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。提供一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。2.仅二级/一级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管

2、理和技术层面对脆弱性进行识别的能力。提供一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。3.仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000提供5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。提供跟踪、验证、挖掘信息安全漏洞的证明材料。中国信息安全认证中心制第9页共9页ISCCC-QOT-0428-B/2信息安全风险评估服务资质认证自评估表以上;具备从业务、管理和技术层面对脆弱性进

3、行识别的能力。具备跟踪、验证、挖掘信息安全漏洞的能力。1.准备阶段-服务方案制定编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施信息安全风险评估方案、风险评估模板。2.仅二级/一级要求:根据评估目标和范围,确定风险评估对象中包含的信息系统,以及对组织的资产进行分类。对被评估的信息系统进行识别的证明材料。3.应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。已完成项目的风险评估方案,方案中包含风险评价原则。4.仅二级/一级要求:应进行充分的系统调研,形成调研报告。已完成项目的系统调研报告,报告中被评估对象有清

4、晰的描述。5.仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。风险评估方案明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。6.仅二级/一级要求:应形成较为完整的风险评估实施方案。7.准备阶段-人员和工具准备应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。风险评估方案明确风险评估实施团队,团队成员应由管理层、相关业务骨干、IT技术人员等角色组成。8.应根据评估的需求准备必要的工具。风险评估方案明确风险评估工具,检查其工具列表及主要功能描述。9.中国信息安

5、全认证中心制第9页共9页ISCCC-QOT-0428-B/2信息安全风险评估服务资质认证自评估表应对评估团队实施风险评估前进行安全教育和技术培训。项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容。1.对项目采取文档化管理项目管理制度中包含文档管理的相关内容。2.仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性;工具的安全测试证明材料;风险评估启动前的工具测试记录,记录包括对工具的适用性记录。3.仅二级/一级要求:建立项目管理规程,对项目按规程进行管理参照ISCCC提供的项目管理制度,结合

6、一个已完成项目查验其项目管理制度的可行性。4.仅一级要求:需采取相关措施,保障工具管理的规范性以及工具自身的安全性、适用性;建立相应的工具管理制度,并按照制度执行。5.仅一级要求:建立项目管理规程,对项目按规程进行管理;必要时,采取项目群、项目组合管理。项目管理制度,结合一个已完成项目查验项目管理制度的可行性。查验其对项目群、项目组合管理要求,及其实施的记录。6.风险识别阶段-资产识别参考国家或国际标准,对资产进行分类。参照已发布的标准,形成的资产分类列表。7.识别重要信息资产,形成资产清单。项目的重要资产清单。8.中国信息安全认证中

7、心制第9页共9页ISCCC-QOT-0428-B/2信息安全风险评估服务资质认证自评估表对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。项目的重要资产的三性等级要求列表1.对资产进行赋值项目的重要资产赋值表。2.仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。3.仅一级要求:根据业务特点和业务流程应识别出关键数据和关键服务。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。4.仅一级要求:识别处理数

8、据和提供服务所需的关键系统单元和关键系统组件。项目中的处理数据和提供服务所需的关键系统单元和关键系统组件。5.风险识别阶段-脆弱性识别应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或(和)技术

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。