信息安全風險評估服務資質二級評價要求

Date31 7 月 2019

信息安全風險評估服務資質二級評價要求針對評估準備、風險識別、風險分析、風險處置四個
過程進行，項目實施過程應形成文件，具體分級要求如下：

A2 信息安全風險評估服務資質二級要求
組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求：
申請二級資質認證的單位，針對多種類型組織，多行業(yè)組織，至少完成一個風險評估項目，該
系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術層面對脆弱性進行識別的能力；具備跟蹤、驗證信
息安全漏洞的能力。
A2.1準備階段
A2.1.1服務方案制定
a) 應進行充分的系統(tǒng)調研，形成調研報告。
b) 宜根據(jù)風險評估目標以及調研結果，確定評估依據(jù)和評估方法。
c) 應形成較為完整的風險評估實施方案。
A2.1.2 人員和工具管理
需采取相關措施，保障工具自身的安全性、適用性。
A2.2風險識別階段
A2.2.1威脅識別
應識別出組織和信息系統(tǒng)中潛在的對組織和信息系統(tǒng)造成影響的威脅。
A2.3風險分析階段
A2.3.1風險分析模型建立
構建風險分析模型應將資產(chǎn)、威脅、脆弱性三個基本要素及每個要素各自的屬性進行關聯(lián)。
A2.3.2風險計算方法確定
在風險計算時應根據(jù)實際情況選擇定性計算方法或定量計算方法。
A2.3.3風險評價
應對不同等級的安全風險進行統(tǒng)計、評價，形成最終的總體安全評價。
A2.3.4風險評估報告
a) 風險評估報告中應對本次評估建立的風險分析模型進行說明，并應闡明本次評估采用的風
險計算方法及風險評價方法。
b) 風險評估報告中應對計算分析出的風險給予比較詳細的說明。
A2.4風險處置階段
A2.4.1風險處置原則確定
應協(xié)助被評估組織確定風險處置原則，以及風險處置原則適用的范圍和例外情況。
A2.4.2安全整改建議
對組織不可接受的風險提出風險處置措施。