023-8656 7363
130 4739 3316
130 4739 3316
專注于IT服務的科技咨詢公司
專注于IT服務的科技咨詢公司
風險評估
信息安全風險評估是信息安全保障的基礎性工作和重要環節,貫穿于網絡和信息系統建設運行的全過程.服務提供者通過對信息系統提供風險評估服務,防范和消除信息安全風險,或將風險控制在可接受的水平,為網絡和信息安全保障提供科學依據.
風險評估
| 級別 | 三級 | 二級 | 一級 |
| 基本要求 |
三級基本要求 1.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 1.2. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 1.4. 人員素質與資質要求 a) 組織負責人擁有2年以上信息技術領域管理經歷。 b) 技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信 息安全技術工作2年以上。 c) 財務負責人具有財務系列初級以上職稱。 d) 從事信息安全服務人員10名以上。 e) 擁有信息安全專業認證(與申報類別一致)人員2名以上。 f) 擁有項目管理資格證書人員1名以上。 1.5. 業績要求 a) 從事信息安全服務(與申報類別一致)1年以上。 b) 近3年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。 1.6. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立人員管理程序和能力考核指標;制定業務和技能培訓計劃,定期對相關人員開展培訓 和考核。 c) 建立文檔控制程序,明確文檔管理職責,任命管理人員,確保項目文檔資料妥善保管。 d) 建立項目管理制度,并按照制度執行。 e) 提供資源,確保信息安全服務項目的實施。 1.7. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 1.8. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員 了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.9. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范并按照規范實施。 |
二級基本要求 2.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 2.2. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近 3 年財務審計報告。 2.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 2.4. 人員素質與資質要求 a) 組織負責人擁有3年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作5年以上。 c) 財務負責人具有財務系列中級以上職稱。 d) 從事信息安全服務人員30名以上。 e) 擁有信息安全專業認證(與申報類別一致)人員6名以上。 f) 擁有項目管理資格證書人員2名以上。 2.5. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。 b) 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,并對工具進行管理和版 本控制。 2.6. 業績要求 a) 從事信息安全服務(與申報類別一致)3年以上,或取得信息安全服務(與申報類別一致)三級資質1年以上。 b) 近三年內簽訂并完成至少6個信息安全服務項目(與申報類別一致)。 2.7. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立項目管理制度,并按照制度執行。 c) 參照國際或國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并有效運行。 d) 參照國際或國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并有效運行。 e) 提供資源,確保信息安全服務項目的實施。 2.8. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 2.9. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 2.10. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范并按照規范實施。 |
一級基本要求 1.1. 申請條件 取得信息安全服務(與申報類別一致)二級資質 1 年以上。(行業領頭企業除外) 1.2. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 1.3. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.4. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 1.5. 人員素質與資質要求 a) 組織負責人擁有4年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱,且從事信息安全技術工作8年以上。 c) 財務負責人擁有財務系列高級職稱,或取得中級職稱8年以上。 d) 從事信息安全技術服務人員50名以上。 e) 擁有信息安全專業認證人員(與申報類別一致)10名以上。 f) 擁有項目管理資格證書人員5名以上。 1.6. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。 b) 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,如漏洞掃描工具、滲透測試工具、協議分析儀等。 1.7. 業績要求 a) 從事信息安全服務(與申報類別一致)5年以上。 b) 近三年內至少簽訂并完成10個信息安全服務項目(與申報類別一致)。 1.8. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立項目管理制度,并按照制度執行。 c) 參照國際、國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并提供有效運行的相關證明。 d) 參照國際、國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并提供有效運行的相關證明。 e) 提供足夠資源,確保信息安全服務項目的實施。 1.9. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 e) 合同應明確信息安全服務的安全要求。 1.10. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.11. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范,并按照規范實施 |
| 類別要求 |
A1 三級要求 申請三級資質認證的單位,至少有一個完成的風險評估項目,該系統的用戶數在1,000以上;具備從管理或(和)技術層面對脆弱性進行識別的能力。 A1.1準備階段 A1.1.1服務方案制定 a) 編制風險評估方案、風險評估模板,并在項目實施過程中按照模板實施。 b) 應為風險評估實施活動提供總體計劃或方案,方案應包含風險評價準則。 A1.1.2人員和工具準備 a) 應組建評估團隊。風險評估實施團隊應由管理層、相關業務骨干、IT技術人員等組成。 b) 應根據評估的需求準備必要的工具。 c) 應對評估團隊實施風險評估前進行安全教育和技術培訓。 d) 對項目采取文檔化管理。 A1.2風險識別階段 A1.2.1資產識別 a) 參考國家或國際標準,對資產進行分類。 b) 識別重要信息資產,形成資產清單。 c) 對已識別的重要資產,分析資產的保密性、完整性和可用性等安全屬性的等級要求。 d) 對資產進行賦值。 A1.2.2脆弱性識別 a) 應對已識別資產的安全管理或技術脆弱性利用適當的工具進行核查,并形成安全管理或技術脆弱性列表。 b) 應對脆弱性進行賦值。 A1.2.3威脅識別 a) 應參考國家或國際標準,對威脅進行分類。 b) 應識別對已識別的信息資產存在的潛在威脅; c) 應識別威脅利用脆弱性的可能性; d) 應分析威脅利用脆弱性對組織可能造成的影響。 A1.2.4已有安全措施確認 a) 應識別組織已采取的安全措施; b) 應評價已采取的安全措施的有效性。 A1.3風險分析階段 A1.3.1風險分析模型建立 a) 應構建風險分析模型。 b) 應根據風險分析模型對已識別的重要資產的威脅、脆弱性及安全措施進行分析。 c) 應根據分析模型確定的方法計算出風險值。 A1.3.2風險評價 應根據風險評價準則確定風險等級。 A1.3.3風險評估報告 a) 應向客戶提供風險評估報告。 b) 報告應包括但不限于評估過程、評估方法、評估結果、處置建議等內容。 |
A2 二級要求 組織申報二級資質,除滿足三級資質的所有條件外,還需滿足以下要求: 申請二級資質認證的單位,針對多種類型組織,多行業組織,至少完成一個風險評估項目,該 系統的用戶數在10,000以上;具備從管理和技術層面對脆弱性進行識別的能力。 A2.1準備階段 根據評估目標和范圍,確定風險評估對象中包含的信息系統,以及對組織的資產進行分類。 A2.1.1服務方案制定 a) 應進行充分的系統調研,形成調研報告。 b) 宜根據風險評估目標以及調研結果,確定評估依據和評估方法。 c) 應形成較為完整的風險評估實施方案。 A2.1.2 人員和工具管理 a) 需采取相關措施, 保障工具自身的安全性、適用性; b) 建立項目管理規程,對項目按規程進行管理。 A2.2風險識別階段 A2.2.1威脅識別 a) 依據相關標準中的威脅分類方法對威脅進行分類。 b) 應識別出組織和信息系統中潛在的對組織和信息系統造成影響的威脅。 A2.3風險分析階段 A2.3.1風險分析模型建立 a) 構建風險分析模型應將資產、威脅、脆弱性三個基本要素及每個要素各自的屬性進行關聯。 b) 資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出。 A2.3.2風險計算方法確定 在風險計算時應根據實際情況選擇定性計算方法或定量計算方法。 A2.3.3風險評價 a) 應根據風險評價準則確定風險等級。 b) 應對不同等級的安全風險進行統計、評價,形成最終的總體安全評價。 A2.3.4風險評估報告 a) 風險評估報告中應對本次評估建立的風險分析模型進行說明,并應闡明本次評估采用的風 險計算方法及風險評價方法。 b) 風險評估報告中應對計算分析出的風險給予比較詳細的說明。 A2.4風險處置階段 A2.4.1風險處置原則確定 應協助被評估組織確定風險處置原則,以及風險處置原則適用的范圍和例外情況。 A2.4.2安全整改建議 對組織不可接受的風險提出風險處置措施。 |
A3一級要求 組織申報一級資質,除滿足二級資質的所有條件外,還需滿足以下要求: 申請一級資質認證的單位,能夠在全國范圍內,針對5個(含)以上行業開展風險評估服務;至少完成兩個風險評估項目,該系統的用戶數在100,000以上;具備從業務、管理和技術層面對脆弱性進行識別的能力。 具備跟蹤、驗證、挖掘信息安全漏洞的能力。 A3.1 準備階段 A3.1.1人員和工具管理 a) 需采取相關措施, 保障工具管理的規范性以及工具自身的安全性、適用性; b) 建立項目管理規程,對項目按規程進行管理;必要時,采取項目群、項目組合管理。 A3.2風險識別階段 A3.2.1資產識別 a) 識別信息系統處理的業務功能,重點識別出關鍵業務功能和關鍵業務流程。 b) 根據業務特點和業務流程應識別出關鍵數據和關鍵服務。 c) 識別處理數據和提供服務所需的關鍵系統單元和關鍵系統組件。 A3.2.2威脅識別 采用多種方法進行威脅調查。 A3.3風險處置階段 A3.3.1組織評審會 a) 協助被評估組織召開評審會。 b) 依據最終的評審意見進行相應的整改,形成最終的整改材料。 A3.3.2殘余風險處置 a) 對組織提出完整的風險處置方案。 b) 必要時,對殘余風險進行再評估。 |
| 頒證機構 | 中國信息安全認證中心 | 中國信息安全認證中心 | 中國信息安全認證中心 |
| 客戶案例 |
河南凌云交匯軟件有限責任公司 成都思瑞奇信息產業有限公司 西安兗礦科技研發設計有限公司 |
北京百卓網絡技術有限公司 |
Copyright © 2020-2023 重慶麻豆视频免费观看有限公司 版權所有
渝ICP備17016243號
Powered by
a0511.cn
地址:重慶市渝中區大坪正街19號英利國際2單元3308室 服務支持:023-8656 7363 (周一至周五 09:00-18:00)
微信掃描上方二維碼咨詢
