搜索
ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第1页共12页信息安全风险评估服务资质认证自评估表填写指南填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。例如《XX公司信息安全风险评估服务规范》、《XX项目信息安全风险评估实施方案》、《XX公司风评工具管理制度》、《XX项目资产清单》、《XX项目信息安全风险评估报告》等,并概括地介绍制度或项目文档各章节的主要内容。2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。例如《工具适用性测试记录》、《XX项目人员培训记录》、《XX项目专家评审意见》等,并概括地介绍记录文档的主要内容。3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX项目信息安全风险评估实施方案》第X章项目团队介绍、《XX项目信息安全风险评估报告》第X章脆弱性分析等,并对相关内容进行总结概括。4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-服务流程”、“6-挖掘漏洞信息”、“13-风险评估工具”、“32-已有安全措施分析”等。以下给出了一份填写样例,供申请组织进行参考。填报组织应按照填写样例的细粒度,进行相关信息的填报。当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第2页共12页组织名称XX公司(全称)申报级别X级评估时间XX年X月X日-X月X日评估部门/人员XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全风险评估服务流程。按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。提供《信息安全风险评估服务流程》(包含XX阶段、XX阶段、XX阶段、XX阶段),对每个阶段的目标、角色、内容、输出进行了说明。1.XX阶段:目标:工作内容:输出:……2.制定信息安全风险评估服务规范并按照规范实施。已制定的信息安全风险评估服务规范。提供《XX公司风险评估服务规范》,包含XX、XX、XX、XX等章节内容。3.基本资格仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。项目名称:系统规模(用户数):合同签订时间:项目验收时间:合同金额:4.仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面项目名称:行业类型:ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第3页共12页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。脆弱性识别的材料。系统规模(用户数):合同签订时间:项目验收时间:合同金额:5.仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。1.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:2.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:3.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第4页共12页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合4.项目名称:行业类型:系统规模(用户数):合同签订时间:项目验收时间:合同金额:5.项目名称:行业类型:系统规模(用户数):合同签订时间:6.仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。跟踪、验证、挖掘信息安全漏洞的证明材料。提供公司近X年提交的漏洞信息:CNNVD-201510-XXX提交人:XXCNNVD-201510-XXX提交人:XXCNNVD-201603-XXX提交人:XX7.准备阶段-服务方案制定编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。信息安全风险评估方案、风险评估模板。提供XX项目的《风险评估项目实施方案》,包含XX、XX、XX、XX等章节内容。提供《风险评估实施方案模板》、包含XX、XX、XX、XX等章节内容,提供《风险评估报告模板》,包含XX、XX、XX等章节内容。8.应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。已完成项目的风险评估方案,方案中应包含风险评价原则。提供XX项目的《风险评估项目实施方案》,在XX章节,对风险评估理论模型、评估原则和方式进行了明确,风ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第5页共12页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合险评价原则为……9.仅二级/一级要求:应进行充分的系统调研,形成调研报告。已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。提供XX项目的《需求调研报告》,包含XX、XX、XX等章节内容。10.仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。提供XX项目的《风险评估项目实施方案》,在XX章节能够对风险评估依据的标准和评估方法进行明确,评估标准主要包括XX、XX、XX等。11.仅二级/一级要求:应形成较为完整的风险评估实施方案。提供XX项目的《风险评估项目实施方案》。12.准备阶段-人员和工具管理应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。提供XX项目的《评估团队组成》文档,对评估组的组织架构和人员进行了明确,包括XX、XX、XX等角色,并对项目组成员的资质进行了介绍。13.应根据评估的需求准备必要的工具。已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。提供XX项目的《风险评估工具》文档,对该项目涉及到的评估工具进行了明确,包括XX、XX、XX,对工具的主要功能进行了介绍。14.应对评估团队实施风险评估前进行安全教育和技术培训。项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容。提供XX项目的《项目启动PPT》,对项目的XX、XX、XX等内容进行了介绍,以及其他可证明对其安全教育、技术方面培训的材料。15.仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。提供《安全服务项目实施工具更新记录表》,包括XX、XX、XX等信息,对工具定期进行策略更新。16.仅一级要求:需采取相关措施,保障工已制定的工具管理制度及执行记录。提供《工具管理办法》,包含XX、XX、XX等章节内容。ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第6页共12页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合具管理的规范性。17.风险识别阶段-资产识别参考国家或国际标准,对资产进行分类。参照已发布的标准,形成的资产分类列表。提供《风险评估实施规范》,其中在X章节对资产的分类标准进行了明确,共分为XX、XX、XX、XX等几种。18.识别重要信息资产,形成资产清单。已完成项目的重要资产清单。提供XX项目的《重要资产清单》。19.对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。已完成项目的重要资产的三性等级要求列表。提供XX项目的《资产赋值-硬件资产》、《资产赋值-软件资产》、《资产赋值-数据资产》文档,能够分析资产XX、XX、XX等安全属性的等级要求。20.对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。已完成项目的重要资产赋值表。提供XX项目的《资产赋值-硬件资产》、《资产赋值-软件资产》、《资产赋值-数据资产》文档,能够体现重要资产的赋值结果。21.仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。提供XX项目的《关键业务功能和关键业务流程分析文档》,识别的关键业务功能为XX,识别的关键业务流程为XX。22.仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。提供XX项目的《关键业务功能和关键业务流程分析文档》,关键业务流程XX依托的关键数据为XX,依托的关键服务为XX。23.仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。提供XX项目的《关键业务功能和关键业务流程分析文档》,处理数据和提供服务所需的关键系统单元为XX,关键系统组件为XX。24.风险识别阶段-脆弱应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列提供XX项目的《安全管理脆弱性检查表》,及物理、网络、主机、数据库的技术脆弱性检查表。ISCCC-QOG-0408-B/0信息安全风险评估服务资质认证自评估表填写指南中国信息安全认证中心制第7页共12页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合性识别安全管理或技术脆弱性列表。表。25.应对脆弱性进行赋值。已完成项目的脆弱性赋值列表。提供XX项目的《硬件资产脆弱性赋值结果》、《软件资产脆弱性赋值结果》、《数据资产脆弱性赋值结果》、《管理脆弱性赋值结果》文档。26.风险识别阶段-威胁识别应参考国家或国际标准,对威胁进行分类;威胁分类清单。提供《风险评估实施规范》,其中在X章节对威胁的分类方法进行了明确,共分为XX、XX、XX、XX等。27.应识别所评估信息资产存在的潜在威胁;已完成项目中的威胁识别清单。提供XX项目的《威胁分析报告》、《威胁赋值表》,识别出的信息系统面临的威胁类型主要包括XX、XX、XX、XX等类型。28.应识别威胁利用脆弱性的可能性;已完成项目中分析威胁利用脆弱性可能性的证明材料。提供XX项目的《硬件资产风险计算结果》、《软件资产风险计算结果》、《数据资产风险计算结果》、《管理风险计算结果》文档,能够将威胁和脆弱性进行关联,评价威胁利用脆弱性的可能性。29.应分析威胁利用脆弱性对组织可能造成的影响。已完成项目中分析脆弱性发生对组织造成影响的证明材料。提供XX项目的《硬件资产风险计算结果》、《软件资产风险计算结果》、《数据资产风险计算结果》、《管理风险计算结果》文档,能够将资产价值和脆弱性进行关联,评价所评估资产的脆弱性一旦被威胁利用所造成的影响。30.仅二级/