信息安全风险评估服务资质认证自评估表填写指南
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息安全服务资质认证自评估表-公共管理
48.
中国信息安全认证中心 制
第 9 页 共 9 页
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单
1.
仅适用于初次认证 财务审计报告或(仅限于三级)加盖 近3年经营状况良好,财务数据真实可 本单位公章的财务报表(近 3 年) 。 信,应提供在中华人民共和国境内登记 注册的会计师事务所出具的近 3年财务 财务资信 审计报告。 要求 监督审核: 应提供在中华人民共和国境内登记注 册的会计师事务所出具的近1 年财务审 计报告。
36.
申请一级 资质条件
37. 38.
以下内容适用于年度监督 近一年业务发展情况,签订、完成的 项目数量及情况,项目经验及教训
业绩情况
业绩情况
中国信息安全认证中心 制
第 7 页 共 9 页
ISCCC-QOT-0432-B/2
信息安全服务资质认证自评估表-公共管理
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 等。 不 符 合 证明材料清单
8.
9.
10. 技术工具 要求 11.
用于信息安全服务的主要软、硬件工 具清单;工具管理程序和要求;有自 主开发产品或工具,并在安全服务项 目中实际应用,需详细介绍,提供产 品销售许可证或软件著作权证书。 提供首个信息安全服务(与申报类别 一致)项目合同,其中包括但不限于 项目名称、合同签订时间、项目验收 时间。 信息安全服务项目(与申报类别一 致)合同及验收报告,项目清单包括 但不限于项目名称、合同金额、签订 时间、验收时间、项目数量、服务内 容等,提交申请书时间为截止时间。
客户投诉制度建设,投诉及处理情况
上一年度提出的观察项跟踪验证情况(如有)
信息安全服务资质公共管理类自评估表
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质认证自评估表-公共管理
个人总结,仅供交流学习,精品资料
信息安全服务资质认证自评估表公共管理
填表说明:
、申请三级信息安全服务资质认证时,仅需填写该自评估表。
、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
、表中要求的所有程序文件均已发布实施。
容适用于年度监督
上一年度提出的观察项整改情况(监督时须填写)
上一年度提出的不符合项整改情况(监督时须填写)
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质自表-风险类-中国信息安全认证中心
CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。
制定信息安全风险评估服务规范并按照规范实施。
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。
评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
已制定的信息安全风险评估服务规范。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
仅三级要求:具备跟踪信息安全漏洞的能力仅二级要求:具备跟踪、验证信息安全漏洞的能力。
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
仅二级 / 一级要求:应进行充分的系统调研,形成调研报告。
仅二级 / 一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
仅二级 /一级要求:应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
信息安全服务资质公共管理类自评估表
信息平安效劳资质认证自评估表-公共管理
填表说明:
1、申请三级信息平安效劳资质认证时,仅需填写该自评估表。
2、申请一、二级效劳资质认证时,该自评估表与申报具体的效劳类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个效劳类别且级别不同时,按照申请的最高级别效劳资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,?信息平安效劳资质认证自评估表-公共管理?中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息平安效劳资质满足?信息平安效劳标准?要求,申请第三方审核。
信息系统安全运维服务资质认证自评估表(1)
7.8.信息系统安全运维服务资质认证自评估表要点1. 服务 技术 要求2.3.4.5.6.准备阶段- 需求调研与分析17.18.要点条款需提供证明材料9 . 仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致。
服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。
10 . 仅一级要求:安全组织中要设定安全领导小组。
安全组织架构图,其中应有安全领导小组。
11 .12 .准备阶段一签订服务协议与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
13 . 仅二级/一级要求:签订服务级别协议。
14 . 根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
15 . 方案设计阶段在安全运维服务方案中明确健康检查服务的服务方式、检查频次和检查内容。
16 . 专业人员负责安全管理的接口。
仅二级/ 一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
仅二级/ 一级要求:识别与分析信息系统运维过程自评估结论证明材料清单项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。
项目合同/协议中应有明确的安全运维模式。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
项目服务方案,内容应包括条款要求。
项目服务方案对健康检查服务的服务方式、检查频次和检查内容进行明确。
运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。
信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。
信息系统运维过程中的分析报告,主要分析项目应有:27.28.19. 20. 21. 22. 23. 24. 25. 26.条款需提供证明材料证明材料清单符 合不 符 合中的历史数据,提出系统 运维的保障策略和解决方 案。
信息安全风险服务资质认证自表填写
中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。
信息安全风险评估服务资质认证自评估表填写指南
信息安全风险评估服务资质认证自评估表填写指南 填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《XX公司信息安全风险评估服务规范》、《XX项目信息安全风险评估实施方案》、《XX公司风评工具管理制度》、《XX项目资产清单》、《XX项目信息安全风险评估报告》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《工具适用性测试记录》、《XX项目人员培训记录》、《XX项目专家评审意见》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX项目信息安全风险评估实施方案》第X章项目团队介绍、《XX项目信息安全风险评估报告》第X章脆弱性分析等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-服务流程”、“6-挖掘漏洞信息”、“13-风险评估工具”、“32-已有安全措施分析”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全风险评估服务流程。
CCRC-QOT-0428-B-4-风险评估
证明材料清单
符
合
不 符 合
胁;
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性 可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造 成的影响。
已完成项目中分析脆弱性发生对组 织造成影响的证明材料。
32.
仅二级/一级要求:应识别出组织和信 息系统中潜在的对组织和信息系统造 成影响的威胁。
对资产根据其在保密性、完整性和可用 性上的等级分析结果,经过综合评定进 行赋值。
已完成项目的重要资产赋值表。
23.
仅一级要求:识别信息系统处理的业务 功能,重点识别出关键业务功能和关键 业务流程。
已完成项目中识别信息系统、以及业 务系统承载的业务、业务流程的证明 材料。
24.
仅一级要求:根据业务特点和业务流程 识别出关键数据和关键服务。
已完成项目中识别信息系统、以及业 务系统承载的业务、业务流程的证明 材料。
25.
仅一级要求:识别处理数据和提供服务 所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服 务所需的关键系统单元和关键系统 组件的识别分析证明材料。
26.
风险识别 阶段-脆弱 性识别
应对已识别资产的安全管理或技术脆 弱性利用适当的工具进行核查,并形成 安全管理或技术脆弱性列表。
已制定的信息安全风险评估服务规 范。
3.
基本资格
仅三级要求:至少有一个完成的风险评 估项目,该系统的用户数在1,000以上; 具备从管理或(和)技术层面对脆弱性 进行识别的能力。
一个已完成项目的合同、用户数、验 收的证明材料,包括管理或(和)技 术层面脆弱性识别的材料。
4.
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
2、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》级要求,申请第三方审核。
信息安全服务资质自评价表-中国信息安全认证中心
信息系统安全集成服务资质认证自评估表组织名称 申报级别评估时间 评估部门/人员序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求 建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.制定信息系统安全集成服务规范并按照规范实施。
信息系统安全集成服务规范。
3.集成准备-需求调研与分析调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。
提供投标文件、项目文档等证明。
4.基于系统建设需求,提出产品选型方案和建设预算。
5.结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
6.仅二级/一级要求:准确识别和综合分系统安全需求分析报告,内容应覆盖序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合析系统在信息安全特性方面相适应的安全需求。
审核条款要求。
7.仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
8.仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
9.方案设计 根据系统建设安全需求,编制安全集成技术方案。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。
项目技术方案、实施方案、沟通记录。
10.依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面要求。
11.结合技术方案和实施方案,与客户进行沟通,获得客户认可。
12.仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险评估服务资质认证自评估表填写指南 填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《XX公司信息安全风险评估服务规范》、《XX项目信息安全风险评估实施方案》、《XX公司风评工具管理制度》、《XX项目资产清单》、《XX项目信息安全风险评估报告》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《工具适用性测试记录》、《XX项目人员培训记录》、《XX项目专家评审意见》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX项目信息安全风险评估实施方案》第X章项目团队介绍、《XX项目信息安全风险评估报告》第X章脆弱性分析等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-服务流程”、“6-挖掘漏洞信息”、“13-风险评估工具”、“32-已有安全措施分析”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全风险评估服务流程。
按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
提供《信息安全风险评估服务流程》(包含XX阶段、XX阶段、XX阶段、XX阶段),对每个阶段的目标、角色、内容、输出进行了说明。
1.XX阶段:目标:工作内容:输出:……2.制定信息安全风险评估服务规范并按照规范实施。
已制定的信息安全风险评估服务规范。
提供《XX公司风险评估服务规范》,包含XX、XX、XX、XX等章节内容。
3.基本资格仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
项目名称:系统规模(用户数):合同签订时间:项目验收时间:合同金额:4.仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面项目名称:行业类型:序号要点条款需提供证明材料自评估结论证明材料清单符合不符合该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。
脆弱性识别的材料。
系统规模(用户数):合同签订时间:项目验收时间:合同金额:5.仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
1.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:2.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:3.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:序号要点条款需提供证明材料自评估结论证明材料清单符合不符合4.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:5.项目名称:行业类型:系统规模(用户数):合同签订时间:6.仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
跟踪、验证、挖掘信息安全漏洞的证明材料。
提供公司近X年提交的漏洞信息:CNNVD-201510-XXX 提交人:XXCNNVD-201510-XXX 提交人:XXCNNVD-201603-XXX 提交人:XX7.准备阶段-服务方案制定编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
信息安全风险评估方案、风险评估模板。
提供XX项目的《风险评估项目实施方案》,包含XX、XX、XX、XX等章节内容。
提供《风险评估实施方案模板》、包含XX、XX、XX、XX等章节内容,提供《风险评估报告模板》,包含XX、XX、XX等章节内容。
8.应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
已完成项目的风险评估方案,方案中应包含风险评价原则。
提供XX项目的《风险评估项目实施方案》,在XX章节,对风险评估理论模型、评估原则和方式进行了明确,风序号要点条款需提供证明材料自评估结论证明材料清单符合不符合险评价原则为……9.仅二级/一级要求:应进行充分的系统调研,形成调研报告。
已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。
提供XX项目的《需求调研报告》,包含XX、XX、XX等章节内容。
10.仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
提供XX项目的《风险评估项目实施方案》,在XX章节能够对风险评估依据的标准和评估方法进行明确,评估标准主要包括XX、XX、XX等。
11.仅二级/一级要求:应形成较为完整的风险评估实施方案。
提供XX项目的《风险评估项目实施方案》。
12.准备阶段-人员和工具管理应组建评估团队。
风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
提供XX项目的《评估团队组成》文档,对评估组的组织架构和人员进行了明确,包括XX、XX、XX等角色,并对项目组成员的资质进行了介绍。
13.应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
提供XX项目的《风险评估工具》文档,对该项目涉及到的评估工具进行了明确,包括XX、XX、XX,对工具的主要功能进行了介绍。
14.应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容。
提供XX项目的《项目启动PPT》,对项目的XX、XX、XX等内容进行了介绍,以及其他可证明对其安全教育、技术方面培训的材料。
15.仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。
工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。
提供《安全服务项目实施工具更新记录表》,包括XX、XX、XX等信息,对工具定期进行策略更新。
16.仅一级要求:需采取相关措施,保障工已制定的工具管理制度及执行记录。
提供《工具管理办法》,包含XX、XX、XX等章节内容。
序号要点条款需提供证明材料自评估结论证明材料清单符合不符合具管理的规范性。
17.风险识别阶段-资产识别参考国家或国际标准,对资产进行分类。
参照已发布的标准,形成的资产分类列表。
提供《风险评估实施规范》,其中在X章节对资产的分类标准进行了明确,共分为XX、XX、XX、XX等几种。
18.识别重要信息资产,形成资产清单。
已完成项目的重要资产清单。
提供XX项目的《重要资产清单》。
19.对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
已完成项目的重要资产的三性等级要求列表。
提供XX项目的《资产赋值-硬件资产》、《资产赋值-软件资产》、《资产赋值-数据资产》文档,能够分析资产XX、XX、XX等安全属性的等级要求。
20.对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。
已完成项目的重要资产赋值表。
提供XX项目的《资产赋值-硬件资产》、《资产赋值-软件资产》、《资产赋值-数据资产》文档,能够体现重要资产的赋值结果。
21.仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
提供XX项目的《关键业务功能和关键业务流程分析文档》,识别的关键业务功能为XX,识别的关键业务流程为XX。
22.仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
提供XX项目的《关键业务功能和关键业务流程分析文档》,关键业务流程XX依托的关键数据为XX,依托的关键服务为XX。
23.仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
提供XX项目的《关键业务功能和关键业务流程分析文档》,处理数据和提供服务所需的关键系统单元为XX,关键系统组件为XX。
24.风险识别阶段-脆弱应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列提供XX项目的《安全管理脆弱性检查表》,及物理、网络、主机、数据库的技术脆弱性检查表。
序号要点条款需提供证明材料自评估结论证明材料清单符合不符合性识别安全管理或技术脆弱性列表。
表。
25.应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
提供XX项目的《硬件资产脆弱性赋值结果》、《软件资产脆弱性赋值结果》、《数据资产脆弱性赋值结果》、《管理脆弱性赋值结果》文档。
26.风险识别阶段-威胁识别应参考国家或国际标准,对威胁进行分类;威胁分类清单。
提供《风险评估实施规范》,其中在X章节对威胁的分类方法进行了明确,共分为XX、XX、XX、XX等。
27.应识别所评估信息资产存在的潜在威胁;已完成项目中的威胁识别清单。
提供XX项目的《威胁分析报告》、《威胁赋值表》,识别出的信息系统面临的威胁类型主要包括XX、XX、XX、XX等类型。
28.应识别威胁利用脆弱性的可能性;已完成项目中分析威胁利用脆弱性可能性的证明材料。
提供XX项目的《硬件资产风险计算结果》、《软件资产风险计算结果》、《数据资产风险计算结果》、《管理风险计算结果》文档,能够将威胁和脆弱性进行关联,评价威胁利用脆弱性的可能性。