信息安全風(fēng)險(xiǎn)服務(wù)資質(zhì)認(rèn)證自表

信息平安風(fēng)險(xiǎn)評(píng)估效勞資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需供應(yīng)證明材料自評(píng)估結(jié)論證明材料清單符合不符合效勞技術(shù)要求建立信息平安風(fēng)險(xiǎn)評(píng)估效勞流程。遵照相關(guān)標(biāo)準(zhǔn)建立的信息平安風(fēng)險(xiǎn)評(píng)估效勞流程，流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等。制定信息平安風(fēng)險(xiǎn)評(píng)估效勞標(biāo)準(zhǔn)并遵照標(biāo)準(zhǔn)實(shí)施。已制定的信息平安風(fēng)險(xiǎn)評(píng)估效勞標(biāo)準(zhǔn)。根本資格僅三級(jí)要求：至少有一個(gè)完成的風(fēng)險(xiǎn)評(píng)估工程，該系統(tǒng)的用戶數(shù)在1,000以上；具備從管理或〔和〕技術(shù)層面對(duì)脆弱性進(jìn)展識(shí)別的實(shí)力。一個(gè)已完成工程的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理或〔和〕技術(shù)層面脆弱性識(shí)別的材料。僅二級(jí)要求：針對(duì)多種類型組織，多行業(yè)組織，至少完成一個(gè)風(fēng)險(xiǎn)評(píng)估工程，該系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術(shù)層面對(duì)脆弱性進(jìn)展識(shí)別的實(shí)力。一個(gè)已完成工程的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理和技術(shù)層面脆弱性識(shí)別的材料。僅一級(jí)要求：能夠在全國(guó)范圍內(nèi)，針對(duì)5個(gè)〔含〕以上行業(yè)開(kāi)展風(fēng)險(xiǎn)評(píng)估效勞；至少完成兩個(gè)風(fēng)險(xiǎn)評(píng)估工程，該系統(tǒng)的用戶數(shù)在100,000以上；具備從業(yè)務(wù)、管理和技術(shù)層面對(duì)脆弱性進(jìn)展識(shí)別的實(shí)力。5個(gè)已完成工程的合同、用戶數(shù)、驗(yàn)收的證明材料，從業(yè)務(wù)、管理和技術(shù)層面對(duì)脆弱性進(jìn)展識(shí)別的材料。僅三級(jí)要求：具備跟蹤信息平安漏洞的實(shí)力跟蹤信息平安漏洞的證明材料僅二級(jí)要求：具備跟蹤、驗(yàn)證信息平安漏洞的實(shí)力。跟蹤、驗(yàn)證信息平安漏洞的證明材料僅一級(jí)要求：具備跟蹤、驗(yàn)證、挖掘信息平安漏洞的實(shí)力。跟蹤、驗(yàn)證、挖掘信息平安漏洞的證明材料。準(zhǔn)備階段-效勞方案制定編制風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模板，并在工程實(shí)施過(guò)程中遵照模板實(shí)施。信息平安風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模板。應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)供應(yīng)總體準(zhǔn)備或方案，方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原那么。已完成工程的風(fēng)險(xiǎn)評(píng)估方案，方案中應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原那么。僅二級(jí)/一級(jí)要求：應(yīng)進(jìn)展充分的系統(tǒng)調(diào)研，形成調(diào)研報(bào)告。已完成工程的系統(tǒng)調(diào)研報(bào)告，報(bào)告中對(duì)被評(píng)估對(duì)象有清晰的描述。僅二級(jí)/一級(jí)要求：宜依據(jù)風(fēng)險(xiǎn)評(píng)估目標(biāo)以及調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。已完成工程的風(fēng)險(xiǎn)評(píng)估實(shí)施方案中應(yīng)依據(jù)目標(biāo)及調(diào)研結(jié)果，明確評(píng)估依據(jù)和評(píng)估方法，評(píng)估依據(jù)和評(píng)估方法符合國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。僅二級(jí)/一級(jí)要求：應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案。準(zhǔn)備階段-人員和工具管理應(yīng)組建評(píng)估團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。已完成工程的風(fēng)險(xiǎn)評(píng)估方案中對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹。應(yīng)依據(jù)評(píng)估的需求準(zhǔn)備必要的工具。已完成工程的風(fēng)險(xiǎn)評(píng)估方案中對(duì)評(píng)估工具的介紹，工具列表及主要功能描述。應(yīng)對(duì)評(píng)估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評(píng)估前進(jìn)展平安教化和技術(shù)培訓(xùn)。工程實(shí)施前的平安教化及技術(shù)培訓(xùn)的證明材料，如啟動(dòng)會(huì)的PPT，PPT中包含培訓(xùn)的內(nèi)容，以及其他可證明對(duì)其平安教化、技術(shù)方面培訓(xùn)的材料。僅二級(jí)/一級(jí)要求：需接受相關(guān)措施，保障工具自身的平安性、適用性。工具的平安測(cè)試證明材料；定期或工具軟件有重大版本變更時(shí)，對(duì)工具軟件進(jìn)展適用性確認(rèn)的測(cè)試記錄。僅一級(jí)要求：需接受相關(guān)措施，保障工具管理的標(biāo)準(zhǔn)性。已制定的工具管理制度及執(zhí)行記錄。風(fēng)險(xiǎn)識(shí)別階段-資產(chǎn)識(shí)別參考國(guó)家或國(guó)際標(biāo)準(zhǔn)，對(duì)資產(chǎn)進(jìn)展分類。參照已發(fā)布的標(biāo)準(zhǔn)，形成的資產(chǎn)分類列表。識(shí)別重要信息資產(chǎn)，形成資產(chǎn)清單。已完成工程的重要資產(chǎn)清單。對(duì)已識(shí)別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等平安屬性的等級(jí)要求。已完成工程的重要資產(chǎn)的三性等級(jí)要求列表。對(duì)資產(chǎn)依據(jù)其在保密性、完整性和可用性上的等級(jí)分析結(jié)果，經(jīng)過(guò)綜合評(píng)定進(jìn)展賦值。已完成工程的重要資產(chǎn)賦值表。僅一級(jí)要求：識(shí)別信息系統(tǒng)處理的業(yè)務(wù)功能，重點(diǎn)識(shí)別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。已完成工程中識(shí)別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。僅一級(jí)要求：依據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識(shí)別出關(guān)鍵數(shù)據(jù)和關(guān)鍵效勞。已完成工程中識(shí)別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。僅一級(jí)要求：識(shí)別處理數(shù)據(jù)和供應(yīng)效勞所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。已完成工程中對(duì)處理數(shù)據(jù)和供應(yīng)效勞所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識(shí)別分析證明材料。風(fēng)險(xiǎn)識(shí)別階段-脆弱性識(shí)別應(yīng)對(duì)已識(shí)別資產(chǎn)的平安管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)展核查，并形成平安管理或技術(shù)脆弱性列表。已完成工程中對(duì)脆弱性識(shí)別時(shí)運(yùn)用的工具列表、管理或技術(shù)脆弱性列表。應(yīng)對(duì)脆弱性進(jìn)展賦值。已完成工程的脆弱性賦值列表。風(fēng)險(xiǎn)識(shí)別階段-威逼識(shí)別應(yīng)參考國(guó)家或國(guó)際標(biāo)準(zhǔn)，對(duì)威逼進(jìn)展分類；威逼分類清單。應(yīng)識(shí)別所評(píng)估信息資產(chǎn)存在的潛在威逼；已完成工程中的威逼識(shí)別清單。應(yīng)識(shí)別威逼利用脆弱性的可能性；已完成工程中分析威逼利用脆弱性可能性的證明材料。應(yīng)分析威逼利用脆弱性對(duì)組織可能造成的影響。已完成工程中分析脆弱性發(fā)生對(duì)組織造成影響的證明材料。僅二級(jí)/一級(jí)要求：應(yīng)識(shí)別出組織和信息系統(tǒng)中潛在的對(duì)組織和信息系統(tǒng)造成影響的威逼。已完成工程中對(duì)組織和信息系統(tǒng)造成的潛在威逼進(jìn)展分析的證明材料。僅一級(jí)要求：接受多種方法進(jìn)展威逼調(diào)查。已完成工程中接受多種威逼調(diào)查方法的證明材料。風(fēng)險(xiǎn)識(shí)別-已有平安措施確認(rèn)應(yīng)識(shí)別組織已接受的平安措施；已完成工程中的已識(shí)別的平安措施列表。應(yīng)評(píng)價(jià)已接受的平安措施的有效性。已完成工程中分析平安措施有效性的證明材料。風(fēng)險(xiǎn)分析階段-風(fēng)險(xiǎn)分析模型建立應(yīng)構(gòu)建風(fēng)險(xiǎn)分析模型。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)風(fēng)險(xiǎn)分析模型的描述，并驗(yàn)證其可行性、科學(xué)性。應(yīng)依據(jù)風(fēng)險(xiǎn)分析模型對(duì)已識(shí)別的重要資產(chǎn)的威逼、脆弱性及平安措施進(jìn)展分析。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中，對(duì)威逼、脆弱性及平安措施分析的描述。僅二級(jí)/一級(jí)要求：構(gòu)建風(fēng)險(xiǎn)分析模型應(yīng)將資產(chǎn)、威逼、脆弱性三個(gè)根本要素及每個(gè)要素各自的屬性進(jìn)展關(guān)聯(lián)。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)資產(chǎn)、威逼、脆弱性三個(gè)根本要素進(jìn)展關(guān)聯(lián)的證明材料。風(fēng)險(xiǎn)分析階段-風(fēng)險(xiǎn)計(jì)算方法確定僅三級(jí)要求：應(yīng)依據(jù)分析模型確定的方法計(jì)算出風(fēng)險(xiǎn)值。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)計(jì)算方法的描述，計(jì)算得出風(fēng)險(xiǎn)值的過(guò)程。僅二級(jí)/一級(jí)要求：在風(fēng)險(xiǎn)計(jì)算時(shí)，應(yīng)依據(jù)實(shí)際狀況選擇定性計(jì)算方法或定量計(jì)算方法。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)評(píng)估方法、評(píng)價(jià)方法、計(jì)算方法的描述，計(jì)算得出風(fēng)險(xiǎn)值的過(guò)程。僅二級(jí)/一級(jí)要求：風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)對(duì)本次評(píng)估建立的風(fēng)險(xiǎn)分析模型進(jìn)展說(shuō)明，并應(yīng)說(shuō)明本次評(píng)估接受的風(fēng)險(xiǎn)計(jì)算方法及風(fēng)險(xiǎn)評(píng)價(jià)方法。風(fēng)險(xiǎn)分析階段-風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)那么確定風(fēng)險(xiǎn)等級(jí)。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中的評(píng)價(jià)準(zhǔn)那么，并依據(jù)評(píng)價(jià)準(zhǔn)那么確定風(fēng)險(xiǎn)等級(jí)的證明材料。僅二級(jí)/一級(jí)要求：應(yīng)對(duì)不同等級(jí)的平安風(fēng)險(xiǎn)進(jìn)展統(tǒng)計(jì)、評(píng)價(jià)，形成最終的總體平安評(píng)價(jià)。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中的平安評(píng)價(jià)內(nèi)容。風(fēng)險(xiǎn)分析-風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)向客戶供應(yīng)風(fēng)險(xiǎn)評(píng)估報(bào)告。已完成的所申請(qǐng)資質(zhì)級(jí)別要求的風(fēng)險(xiǎn)評(píng)估報(bào)告，報(bào)告中至少包括評(píng)估過(guò)程、評(píng)估方法、評(píng)估結(jié)果、處置建議等內(nèi)容。報(bào)告應(yīng)包括但不限于評(píng)估過(guò)程、評(píng)估方法、評(píng)估結(jié)果、處置建議等內(nèi)容。僅二級(jí)/一級(jí)要求：風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)對(duì)計(jì)算分析出的風(fēng)險(xiǎn)賜予比擬詳細(xì)的說(shuō)明。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)風(fēng)險(xiǎn)賜予詳細(xì)說(shuō)明的證明材料。風(fēng)險(xiǎn)處置階段-風(fēng)險(xiǎn)處置原那么確定僅二級(jí)/一級(jí)要求：應(yīng)幫助被評(píng)估組織確定風(fēng)險(xiǎn)處置原那么，以及風(fēng)險(xiǎn)處置原那么適用的范圍和例外狀況。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告或建議報(bào)告中對(duì)風(fēng)險(xiǎn)處置原那么及適用的范圍和例外狀況說(shuō)明的證明材料。風(fēng)險(xiǎn)處置階段-平安整改建議僅二級(jí)/一級(jí)要求：對(duì)組織不行承受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。已完成工程的風(fēng)險(xiǎn)評(píng)估報(bào)告或建議報(bào)告中對(duì)組織不行承受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施或建議的證明材料。風(fēng)險(xiǎn)處置階段-組織評(píng)審會(huì)僅一級(jí)要求：幫助被評(píng)估組織召開(kāi)評(píng)審會(huì)。效勞供應(yīng)者幫助被評(píng)估組織組織評(píng)審會(huì)的證明材料，如會(huì)議通知、專家簽到表、專家看法等。僅一級(jí)要求：依據(jù)最終的評(píng)審看法進(jìn)展相應(yīng)的整改，形成最終的整改材料。已完成工程的專家評(píng)審看法、整改措施及其總結(jié)。風(fēng)險(xiǎn)處置階段-剩余風(fēng)險(xiǎn)處置僅一級(jí)要求：對(duì)組織提出完整的風(fēng)險(xiǎn)處置方案。已完成工程的剩余風(fēng)險(xiǎn)處置方案，方案至少包含處置措施、工具、時(shí)間準(zhǔn)備等內(nèi)容。僅一級(jí)要求：必要時(shí)，對(duì)剩余風(fēng)險(xiǎn)進(jìn)展再評(píng)估。