信息安全服务资质自评价表

ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号1.2.基本资格3.条款至少有一个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。仅二级/一级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力。仅一级要求：能够在全国范围内，针对个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业务、管理和技术层面对脆弱性进行识别的申报级别评估部门/人员自评估结论需提供证明材料不证明材料清单符符合合提供一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。提供一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。提供5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。提供跟踪、验证、挖掘信息安全漏洞的证明材料。中国信息安全认证中心制第1页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点号4.5.准备阶段-服务方案制定8.9.10.准备阶段-人员和工具准备12.条款能力。具备跟踪、验证、挖掘信息安全漏洞的能力。编制风险评估方案、风险评估 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 ，并在项目实施过程中按照模板实施仅二级/一级要求：根据评估目标和范围，确定风险评估对象中包含的信息系统，以及对组织的资产进行分类。应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。仅二级/一级要求：应进行充分的系统调研，形成调研 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 。仅二级/一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。仅二级/一级要求：应形成较为完整的风险评估实施方案。应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。应根据评估的需求准备必要的工具。应对评估团队实施风险评估前进行安需提供证明材料信息安全风险评估方案、风险评估模板。对被评估的信息系统进行识别的证明材料。已完成项目的风险评估方案，方案中包含风险评价原则。已完成项目的系统调研报告，报告中被评估对象有清晰的描述。风险评估方案明确评估依据和评估方法，评估依据和评估方法符合国家标准、行业标准及相关要求。风险评估方案明确风险评估实施团队，团队成员应由管理层、相关业务骨干、IT技术人员等角色组成。风险评估方案明确风险评估工具，检查其工具列表及主要功能描述。项目实施前的安全教育及技术培训自评估结论不证明材料清单符符合合中国信息安全认证中心制第2页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点号条款需提供证明材料自评估结论不证明材料清单符符合合13.14.15.16.17.风险识别阶段-资产19.识别20.全教育和技术培训。对项目采取文档化管理仅二级/一级要求：需采取相关措施，保障工具自身的安全性、适用性；仅二级/一级要求：建立项目管理规程，对项目按规程进行管理仅一级要求：需采取相关措施，保障工具管理的规范性以及工具自身的安全性、适用性；仅一级要求：建立项目管理规程，对项目按规程进行管理；必要时，采取项目群、项目组合管理。参考国家或国际标准，对资产进行分类。识别重要信息资产，形成资产清单。对已识别的重要资产，分析资产的保密的证明材料，如启动会的PPT，PPT中包含培训的内容。项目 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 中包含文档管理的相关内容。工具的安全测试证明材料；风险评估启动前的工具测试记录，记录包括对工具的适用性记录。参照ISCCC提供的项目管理制度，结合一个已完成项目查验其项目管理制度的可行性。建立相应的工具管理制度，并按照制度执行。项目管理制度，结合一个已完成项目查验项目管理制度的可行性。查验其对项目群、项目组合管理要求，及其实施的记录。参照已发布的标准，形成的资产分类列表。项目的重要资产清单。项目的重要资产的三性等级要求列中国信息安全认证中心制第3页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点条款号性、完整性和可用性等安全属性的等级要求。21.对资产进行赋值仅一级要求：识别信息系统处理的业务22.功能，重点识别出关键业务功能和关键业务 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 。23.仅一级要求：根据业务特点和业务流程应识别出关键数据和关键服务。24.仅一级要求：识别处理数据和提供服务所需的关键系统单元和关键系统组件。风险识别应对已识别资产的安全管理或技术脆25.弱性利用适当的工具进行核查，并形成阶段-脆弱安全管理或（和）技术脆弱性列表。26.性识别应对脆弱性进行赋值。27.应参考国家或国际标准，对威胁进行分类。28.风险识别应识别对已识别的信息资产存在的潜在威胁；阶段-威胁29.识别应识别威胁利用脆弱性的可能性；30.应分析威胁利用脆弱性对组织可能造自评估结论需提供证明材料不证明材料清单符符合合表项目的重要资产赋值表。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。项目中的识别信息系统、以及业务系统承载的业务、业务流程的证明材料。项目中的处理数据和提供服务所需的关键系统单元和关键系统组件。项目中对脆弱性识别时使用的工具列表、管理或（和）技术脆弱性列表。项目的脆弱性赋值列表。威胁分类清单。项目中的威胁识别清单其分析脆弱性发生可能性的证明材料。分析脆弱性发生对组织造成影响的中国信息安全认证中心制第4页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点号31.32.33.风险识别-34.已有安全措施确认36.条款成的影响。仅二级/一级要求：依据相关标准中的威胁分类方法对威胁进行分类。仅二级/一级要求：应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。仅一级要求：采用多种方法进行威胁调查。应识别组织已采取的安全措施；应评价已采取的安全措施的有效性。应构建风险分析模型。需提供证明材料证明材料。威胁类别清单对组织和信息系统造成的潜在威胁，以及分析的证明材料。威胁调查的方法证明材料。已完成项目的已识别的安全措施列表。安全措施有效性的证明材料。已完成项目的风险评估报告中的风险分析模型的描述，并验证其可行性、科学性。自评估结论不证明材料清单符符合合风险分析应根据风险分析模型对已识别的重要阶段-风资产的威胁、脆弱性及安全措施进行分险分析模析。型建立应根据分析模型确定的方法计算出风38.险值。已完成项目的风险评估报告中，对资产、脆弱性及安全措施的分析的描述。已完成项目的风险评估报告中对计算方法的描述，并得出风险值。39.仅二级/一级要求：构建风险分析模型应将资产、威胁、脆弱性三个基本要素已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行中国信息安全认证中心制第5页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点条款号及每个要素各自的属性进行关联。仅二级/一级要求：资产价值应依据资40.产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。风险分析仅二级/一级要求：在风险计算时，应阶段-风41.根据实际情况选择定性计算方法或定险计算方量计算方法。法确定42.风险分析应根据风险评价准则确定风险等级。阶段-风仅二级/一级要求：应对不同等级的安43.险评价全风险进行统计、评价，形成最终的总体安全评价。44.应向客户提供风险评估报告。自评估结论需提供证明材料不证明材料清单符符合合关联的证明材料。应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。项目的风险评估报告中的计算方法。项目的风险评估报告中的评价准则，确定该项目的风险等级。项目的风险评估报告中的安全评价内容。已完成级别所要求的风险评估报告。风险评估是否按照模板实施，报告中风险分析-风险评估报告46.报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。仅二级/一级要求：风险评估报告中应对本次评估建立的风险分析模型进行 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 ，并应阐明本次评估采用的风险计算方法及风险评价方法。至少包括评估过程、评估方法、评估结果、处置建议等内容。2-3份报告中对评估模型、评估方法、评价方法等描述的内容。中国信息安全认证中心制第6页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表序要点条款需提供证明材料号仅二级/一级要求：风险评估报告中应对计算分析出的风险给予比较详细的风险评估报告对风险给予详细说明。说明。风险处置仅二级/一级要求：应协助被评估组织风险评估报告或建议报告中对风险阶段-风险47.确定风险处置原则，以及风险处置原则处置原则及适用的范围和例外情况处置原则适用的范围和例外情况。的说明。确定风险处置仅二级/一级要求：对组织不可接受的风险评估报告或建议报告中对组织48.阶段-安全不可接受的风险提出风险处置措施风险提出风险处置措施。整改建议或建议。仅一级要求：协助被评估组织召开评审服务提供者协助被评估组织组织评49.审会的证明材料，如会议通知、专家风险处置会。签到表、专家意见等。阶段-组织50.评审会仅一级要求：依据最终的评审意见进行专家意见、整改措施及其总结。相应的整改，形成最终的整改材料。仅一级要求：对组织提出完整的风险处对残余风险提出处置方案，方案至少51.包含处置措施、工具、时间计划等内风险处置置方案。容。阶段-残余52.风险处置仅一级要求：必要时，对残余风险进行对残余风险进行再评估的证明材料。再评估。自评估结论不证明材料清单符符合合中国信息安全认证中心制第7页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表自评估序结论条款需提供证明材料不证明材料清单要点号符符合合上一年度提出的观察项跟踪验证情况（如有）54.55.56.上一年度提出的不符合项跟踪验证情况（如有）58.59.中国信息安全认证中心制第8页共9页ISCCC-QOT-0453-B/1信息安全风险评估服务资质认证自评估表自评估结论：经自主评估，本单位的信息安全风险评估服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求，申请第三方审核。本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。单位法人签字（公章）：时间：年月日中国信息安全认证中心制第9页共9页