信息安全風險評估服務(wù)資質(zhì)認證自評估表

1、信息安全風險評估服務(wù)資質(zhì)認證自評估表 組織名稱 申報級別 評估時間 評估部門/人員 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 1. 服務(wù)技術(shù) 要求 建立信息安全風險評估服務(wù)流程。 按照相關(guān)標準建立的信息安全風險 評估服務(wù)流程，流程圖中應(yīng)包括每個 階段對應(yīng)的職責、輸入輸出等。 2. 制定信息安全風險評估服務(wù)規(guī)范并按 照規(guī)范實施。 已制定的信息安全風險評估服務(wù)規(guī) 范。 3. 基本資格 僅三級要求：至少有一個完成的風險評 估項目，該系統(tǒng)的用戶數(shù)在 1,000以上； 具備從管理或（和）技術(shù)層面對脆弱性 進行識別的能力。 一個已完成項目的合同、用戶數(shù)、驗 收的證

2、明材料，包括管理或（和）技 術(shù)層面脆弱性識別的材料。 4. 僅二級要求：針對多種類型組織， 多行 業(yè)組織，至少完成一個風險評估項目， 該系統(tǒng)的用戶數(shù)在 10,000以上；具備從 管理和技術(shù)層面對脆弱性進行識別的 能力。 一個已完成項目的合同、用戶數(shù)、驗 收的證明材料，包括管理和技術(shù)層面 脆弱性識別的材料。 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 5. 僅一級要求：能夠在全國范圍內(nèi)，針對 5個（含）以上行業(yè)開展風險評估服務(wù)； 至少完成兩個風險評估項目，該系統(tǒng)的 用戶數(shù)在100,000以上；具備從業(yè)務(wù)、 管理和技術(shù)層面對脆弱性進行識別的 能力。 5個已完

3、成項目的合同、用戶數(shù)、驗 收的證明材料，從業(yè)務(wù)、管理和技術(shù) 層面對脆弱性進行識別的材料。 6. 僅三級要求：具備跟蹤信息安全漏洞的 能力 跟蹤信息安全漏洞的證明材料 7. 僅二級要求：具備跟蹤、驗證信息安全 漏洞的能力。 跟蹤、驗證信息安全漏洞的證明材料 8. 僅一級要求：具備跟蹤、驗證、挖掘信 息安全漏洞的能力。 跟蹤、驗證、挖掘信息安全漏洞的證 明材料。 9. 準備階段- 服務(wù)方案 制疋 編制風險評估方案、風險評估模板，并 在項目實施過程中按照模板實施。 信息安全風險評估方案、風險評估模 板。 10. 應(yīng)為風險評估實施活動提供總體計劃 或方案，方案應(yīng)包含風險評價原則。 已完成項目的風險評估

4、方案，方案中 應(yīng)包含風險評價原則。 11. 僅一級/一級要求：應(yīng)進行充分的系統(tǒng) 調(diào)研，形成調(diào)研報告。 已完成項目的系統(tǒng)調(diào)研報告，報告中 對被評估對象有清晰的描述。 12. 僅二級/一級要求：宜根據(jù)風險評估目 標以及調(diào)研結(jié)果，確定評估依據(jù)和評估 方法。 已完成項目的風險評估實施方案中 應(yīng)根據(jù)目標及調(diào)研結(jié)果，明確評估依 據(jù)和評估方法，評估依據(jù)和評估方法 符合國家標準、行業(yè)標準及相關(guān)要 13. 僅二級/一級要求：應(yīng)形成較為完整的 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 風險評估實施方案。 求。 14. 準備階段- 人員和工 具管理 應(yīng)組建評估團隊。風險評估

5、實施團隊應(yīng) 由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員 等組成。 已完成項目的風險評估方案中對風 險評估實施團隊成員及團隊構(gòu)架的 介紹。 15. 應(yīng)根據(jù)評估的需求準備必要的工具。 已完成項目的風險評估方案中對評 估工具的介紹，工具列表及主要功能 描述。 16. 應(yīng)對評估團隊實施風險評估前進行安 全教育和技術(shù)培訓。 項目實施前的安全教育及技術(shù)培訓 的證明材料，如啟動會的PPT, PPT 中包含培訓的內(nèi)容， 以及其他可證明 對其安全教育、技術(shù)方面培訓的材 料。 17. 僅二級/一級要求：需米取相關(guān)措施， 保障工具自身的安全性、適用性。 工具的安全測試證明材料； 定期或工 具軟件有重大版本變更時，對工具軟

6、 件進行適用性確認的測試記錄。 18. 僅一級要求：需米取相關(guān)措施，保障工 具管理的規(guī)范性。 已制定的工具管理制度及執(zhí)行記錄。 19. 風險識別 階段-資產(chǎn) 識別 參考國家或國際標準，對資產(chǎn)進行分 類。 參照已發(fā)布的標準， 形成的資產(chǎn)分類 列表。 20. 識別重要信息資產(chǎn)，形成資產(chǎn)清單。 已完成項目的重要資產(chǎn)清單。 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 21. 對已識別的重要資產(chǎn)，分析資產(chǎn)的保密 性、完整性和可用性等安全屬性的等級 要求。 已完成項目的重要資產(chǎn)的三性等級 要求列表。 22. 對資產(chǎn)根據(jù)其在保密性、完整性和可用 性上的等級分析結(jié)果，經(jīng)

7、過綜合評定進 行賦值。 已完成項目的重要資產(chǎn)賦值表。 23. 僅一級要求：識別信息系統(tǒng)處理的業(yè)務(wù) 功能，重點識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵 業(yè)務(wù)流程。 已完成項目中識別信息系統(tǒng)、以及業(yè) 務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明 材料。 24. 僅一級要求:根據(jù)業(yè)務(wù)特點和業(yè)務(wù)流程 識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。 已完成項目中識別信息系統(tǒng)、以及業(yè) 務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明 材料。 25. 僅一級要求：識別處理數(shù)據(jù)和提供服務(wù) 所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。 已完成項目中對處理數(shù)據(jù)和提供服 務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng) 組件的識別分析證明材料。 26. 風險識別 階段-脆弱 性識別 應(yīng)對已識別資產(chǎn)的安全管

8、理或技術(shù)脆 弱性利用適當?shù)墓ぞ哌M行核查，并形成 安全管理或技術(shù)脆弱性列表。 已完成項目中對脆弱性識別時使用 的工具列表、管理或技術(shù)脆弱性列 表。 27. 應(yīng)對脆弱性進行賦值。 已完成項目的脆弱性賦值列表。 28. 風險識別 階段-威脅 識別 應(yīng)參考國家或國際標準，對威脅進行分 類； 威脅分類清單。 29. 應(yīng)識別所評估信息資產(chǎn)存在的潛在威 已完成項目中的威脅識別清單。 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 脅； 30. 應(yīng)識別威脅利用脆弱性的可能性； 已完成項目中分析威脅利用脆弱性 可能性的證明材料。 31. 應(yīng)分析威脅利用脆弱性對組織可能造 成的

9、影響。 已完成項目中分析脆弱性發(fā)生對組 織造成影響的證明材料。 32. 僅二級/一級要求：應(yīng)識別出組織和信 息系統(tǒng)中潛在的對組織和信息系統(tǒng)造 成影響的威脅。 已完成項目中對組織和信息系統(tǒng)造 成的潛在威脅進行分析的證明材料。 33. 僅一級要求：米用多種方法進行威脅調(diào) 查。 已完成項目中米取多種威脅調(diào)查方 法的證明材料。 34. 風險識別- 已有安全 措施確認 應(yīng)識別組織已米取的安全措施； 已完成項目中的已識別的安全措施 列表。 35. 應(yīng)評價已米取的安全措施的有效性。 已完成項目中分析安全措施有效性 的證明材料。 36. 風險分析 階段-風險 分析模型 建立 應(yīng)構(gòu)建風險分析模型。 已完成項目的

10、風險評估報告中對風 險分析模型的描述，并驗證其可行 性、科學性。 37. 應(yīng)根據(jù)風險分析模型對已識別的重要 資產(chǎn)的威脅、脆弱性及安全措施進行分 析。 已完成項目的風險評估報告中，對威 脅、脆弱性及安全措施分析的描述。 38. 僅二級/一級要求：構(gòu)建風險分析模型 應(yīng)將資產(chǎn)、威脅、脆弱性二個基本要素 已完成項目的風險評估報告中對資 產(chǎn)、威脅、脆弱性三個基本要素進行 序 號 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 符 合 不 符 合 及每個要素各自的屬性進行關(guān)聯(lián)。 關(guān)聯(lián)的證明材料。 39. 風險分析 階段-風險 計算方法 確定 僅三級要求：應(yīng)根據(jù)分析模型確定的方 法計算出風險值。 已

11、完成項目的風險評估報告中對計 算方法的描述，計算得出風險值的過 程。 40. 僅二級/一級要求：在風險計算時，應(yīng) 根據(jù)頭際情況選擇疋性計算方法或疋 量計算方法。 已完成項目的風險評估報告中對評 估方法、評價方法、計算方法的描述， 計算得出風險值的過程。 41. 僅二級/一級要求：風險評估報告中應(yīng) 對本次評估建立的風險分析模型進行 說明，并應(yīng)闡明本次評估采用的風險計 算方法及風險評價方法。 42. 風險分析 階段-風險 評價 應(yīng)根據(jù)風險評價準則確定風險等級。 已完成項目的風險評估報告中的評 價準則，并根據(jù)評價準則確定風險等 級的證明材料。 43. 僅二級/一級要求：應(yīng)對不冋等級的安 全風險進行統(tǒng)

12、計、評價，形成最終的總 體安全評價。 已完成項目的風險評估報告中的安 全評價內(nèi)容。 44. 風險分析- 風險評估 報告 應(yīng)向客戶提供風險評估報告。 已完成的所申請資質(zhì)級別要求的風 險評估報告，報告中至少包括評估過 程、評估方法、評估結(jié)果、處置建議 等內(nèi)容。 45. 報告應(yīng)包括但不限于評估過程、評估方 法、評估結(jié)果、處置建議等內(nèi)容。 序 要點 條款 需提供證明材料 自評估 結(jié)論 證明材料清單 號 符 合 不 符 合 46. 僅二級/一級要求：風險評估報告中應(yīng) 對計算分析出的風險給予比較詳細的 說明。 已完成項目的風險評估報告中對風 險給予詳細說明的證明材料。 47. 風險處置 階段-風險 處置原

13、則 確定 僅二級/一級要求：應(yīng)協(xié)助被評估組織 確定風險處置原則，以及風險處置原則 適用的范圍和例外情況。 已完成項目的風險評估報告或建議 報告中對風險處置原則及適用的范 圍和例外情況說明的證明材料。 48. 風險處置 階段-安全 整改建議 僅二級/一級要求：對組織不可接受的 風險提出風險處置措施。 已完成項目的風險評估報告或建議 報告中對組織不可接受的風險提出 風險處置措施或建議的證明材料。 49. 風險處置 階段-組織 評審會 僅一級要求：協(xié)助被評估組織召開評審 會。 服務(wù)提供者協(xié)助被評估組織組織評 審會的證明材料，如會議通知、專家 簽到表、專家意見等。 50. 僅一級要求：依據(jù)最終的評審意見進行 相應(yīng)的整改，形成最終的整改材料。 已完成項目的專家評審意見、 整改措 施及其總結(jié)。 51. 風險處置 階段-殘余 風險處置 僅一級要求：對組織提出完整的風險處 置方案。 已完成項目的殘余風險處置方案，方 案至少包含處置措施、工具、時間計 劃等內(nèi)容。 52. 僅一級要求：必要時，對殘余風險進行 再評估。 已完成項目中對殘余風險進行再評 估的證明材料。