信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表

#/9信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表組織名稱申報(bào)級別評估時(shí)間評估部門人員序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.2.服務(wù)技術(shù)要求建立信息安全風(fēng)險(xiǎn)評估服務(wù)流程。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全風(fēng)險(xiǎn)評估服務(wù)流程，流程圖中應(yīng)包括每個(gè)階段對應(yīng)的職責(zé)、輸入輸出等。制定信息安全風(fēng)險(xiǎn)評估服務(wù)規(guī)范并按照規(guī)范實(shí)施。已制定的信息安全風(fēng)險(xiǎn)評估服務(wù)規(guī)范。3.4.基本資格僅三級要求：至少有一個(gè)完成的風(fēng)險(xiǎn)評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在以上；具備從官理或（和）技術(shù)層面對脆弱性進(jìn)仃識別的能力。一個(gè)已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理或（和）技術(shù)層面脆弱性識別的材料。僅一級要求：針對多種類型組織，多仃業(yè)組織，至少完成一個(gè)風(fēng)險(xiǎn)評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在以上；具備從管理和技術(shù)層面對脆弱性進(jìn)仃識別的能力。一個(gè)已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理和技術(shù)層面脆弱性識別的材料。

序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合5.僅一級要求：能夠在全國范圍內(nèi)，針對個(gè)（含）以上行業(yè)開展風(fēng)險(xiǎn)評估服務(wù)；至少完成兩個(gè)風(fēng)險(xiǎn)評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在以上；具備從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進(jìn)行識別的能力。個(gè)已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，從業(yè)務(wù)、管理和技術(shù)層面對脆弱性進(jìn)行識別的材料。6.僅三級要求：具備跟蹤信息安全漏洞的能力跟蹤信息安全漏洞的證明材料7.僅二級要求：具備跟蹤、驗(yàn)證信息安全漏洞的能力。跟蹤、驗(yàn)證信息安全漏洞的證明材料8.僅一級要求：具備跟蹤、驗(yàn)證、挖掘信息安全漏洞的能力。跟蹤、驗(yàn)證、挖掘信息安全漏洞的證明材料。9.編制風(fēng)險(xiǎn)評估方案、風(fēng)險(xiǎn)評估模板，并在項(xiàng)目實(shí)施過程中按照模板實(shí)施。信息安全風(fēng)險(xiǎn)評估方案、風(fēng)險(xiǎn)評估模板。10.應(yīng)為風(fēng)險(xiǎn)評估實(shí)施活動提供總體計(jì)劃已完成項(xiàng)目的風(fēng)險(xiǎn)評估方案，方案中或萬案，萬案應(yīng)包含風(fēng)險(xiǎn)評價(jià)原則。應(yīng)包含風(fēng)險(xiǎn)評價(jià)原則。11.準(zhǔn)備階段服務(wù)方案僅二級一級要求:應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，形成調(diào)研報(bào)告。已完成項(xiàng)目的系統(tǒng)調(diào)研報(bào)告，報(bào)告中對被評估對象有清晰的描述。12.制定僅二級一級要求：宜根據(jù)風(fēng)險(xiǎn)評估目標(biāo)以及調(diào)研結(jié)果，確定評估依據(jù)和評估方法。已完成項(xiàng)目的風(fēng)險(xiǎn)評估實(shí)施方案中應(yīng)根據(jù)目標(biāo)及調(diào)研結(jié)果，明確評估依據(jù)和評估方法，評估依據(jù)和評估方法付合國豕標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。13.僅一級一級要求:應(yīng)形成較為完整的風(fēng)險(xiǎn)評估實(shí)施萬案。

序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合14.15.16.17.18.準(zhǔn)備階段人員和工具管理應(yīng)組建評估團(tuán)隊(duì)。風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、技術(shù)人員等組成。已完成項(xiàng)目的風(fēng)險(xiǎn)評估方案中對風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹。應(yīng)根據(jù)評估的需求準(zhǔn)備必要的工具。已完成項(xiàng)目的風(fēng)險(xiǎn)評估方案中對評估工具的介紹，工具列表及主要功能描述。應(yīng)對評估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評估前進(jìn)行安全教育和技術(shù)培訓(xùn)。項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)的證明材料，如啟動會的，中包含培訓(xùn)的內(nèi)容，以及其他可證明對其安全教育、技術(shù)方面培訓(xùn)的材料。僅一級級要求:需采取相關(guān)扌曰施，保障工具自身的安全性、適用性。工具的安全測試證明材料；定期或工具軟件有重大版本變更時(shí)，對工具軟件進(jìn)行適用性確認(rèn)的測試記錄。僅級要求：需采取相關(guān)扌曰施，保障工具管理的規(guī)范性。已制定的工具管理制度及執(zhí)行記錄。19.20.21.風(fēng)險(xiǎn)識別階段資產(chǎn)識別參考國家或國際標(biāo)準(zhǔn)，對資產(chǎn)進(jìn)行分類。參照已發(fā)布的標(biāo)準(zhǔn)，形成的資產(chǎn)分類列表。識別重要信息資產(chǎn)，形成資產(chǎn)清單。已完成項(xiàng)目的重要資產(chǎn)清單。對已識別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求。已完成項(xiàng)目的重要資產(chǎn)的三性等級要求列表。

序號自評估結(jié)論要點(diǎn)條款需提供證明材料符合不符合證明材料清單22.對資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級分析結(jié)果，經(jīng)過綜合評定進(jìn)行賦值。已完成項(xiàng)目的重要資產(chǎn)賦值表。23.僅一級要求：識別信息系統(tǒng)處理的業(yè)務(wù)功能，重點(diǎn)識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。已完成項(xiàng)目中識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。24.僅一級要求：根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。已完成項(xiàng)目中識別信息系統(tǒng)、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料。25.僅一級要求：識別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件。已完成項(xiàng)目中對處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識別分析證明材料。26.風(fēng)險(xiǎn)識別階段脆弱應(yīng)對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查，并形成安全管理或技術(shù)脆弱性列表。已完成項(xiàng)目中對脆弱性識別時(shí)使用的工具列表、管理或技術(shù)脆弱性列表。27.性識別應(yīng)對脆弱性進(jìn)行賦值。已完成項(xiàng)目的脆弱性賦值列表。28.風(fēng)險(xiǎn)識別階段威脅應(yīng)參考