信息安全風(fēng)險評估服務(wù)資質(zhì)三級評價要求

Date01 8 月 2019

信息安全風(fēng)險評估服務(wù)資質(zhì)三級評價要求針對評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析、風(fēng)險處置四個
過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級要求如下：

A1 信息安全風(fēng)險評估服務(wù)資質(zhì)三級要求
申請三級資質(zhì)認(rèn)證的單位，至少有1個完成的風(fēng)險評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在1,000以上；具
備從管理或（和）技術(shù)層面對脆弱性進(jìn)行識別的能力；具備跟蹤信息安全漏洞的能力。
A1.1準(zhǔn)備階段
A1.1.1服務(wù)方案制定
a) 編制風(fēng)險評估方案、風(fēng)險評估模板，并在項(xiàng)目實(shí)施過程中按照模板實(shí)施。
b) 應(yīng)為風(fēng)險評估實(shí)施活動提供總體計劃或方案，方案應(yīng)包含風(fēng)險評價準(zhǔn)則。
A1.1.2人員和工具準(zhǔn)備
a) 應(yīng)組建評估團(tuán)隊(duì)。風(fēng)險評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。
b) 應(yīng)根據(jù)評估的需求準(zhǔn)備必要的工具。
c) 應(yīng)對評估團(tuán)隊(duì)實(shí)施風(fēng)險評估前進(jìn)行安全教育和技術(shù)培訓(xùn)。
A1.2風(fēng)險識別階段
A1.2.1資產(chǎn)識別
a) 參考國家或國際標(biāo)準(zhǔn)，對資產(chǎn)進(jìn)行分類。
b) 識別重要信息資產(chǎn)，形成資產(chǎn)清單。
c) 對已識別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級要求。
d) 對資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級分析結(jié)果，經(jīng)過綜合評定進(jìn)行賦值。
A1.2.2脆弱性識別
a) 應(yīng)對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查，并形成安全管理或技
術(shù)脆弱性列表。
b) 應(yīng)對脆弱性進(jìn)行賦值。
A1.2.3威脅識別
a) 應(yīng)參考國家或國際標(biāo)準(zhǔn)，對威脅進(jìn)行分類；
b) 應(yīng)識別所評估信息資產(chǎn)存在的潛在威脅；
c) 應(yīng)識別威脅利用脆弱性的可能性；
d) 應(yīng)分析威脅利用脆弱性對組織可能造成的影響。
A1.2.4已有安全措施確認(rèn)
a) 應(yīng)識別組織已采取的安全措施；
b) 應(yīng)評價已采取的安全措施的有效性。
A1.3風(fēng)險分析階段
A1.3.1風(fēng)險分析模型建立
a) 應(yīng)構(gòu)建風(fēng)險分析模型。
b) 應(yīng)根據(jù)風(fēng)險分析模型對已識別的重要資產(chǎn)的威脅、脆弱性
A1.3.1風(fēng)險分析模型建立
a) 應(yīng)構(gòu)建風(fēng)險分析模型。
b) 應(yīng)根據(jù)風(fēng)險分析模型對已識別的重要資產(chǎn)的威脅、脆弱性及安全措施進(jìn)行分析。
c) 應(yīng)根據(jù)分析模型確定的方法計算出風(fēng)險值。
A1.3.2風(fēng)險評價
應(yīng)根據(jù)風(fēng)險評價準(zhǔn)則確定風(fēng)險等級。
A1.3.3風(fēng)險評估報告
a) 應(yīng)向客戶提供風(fēng)險評估報告。
b) 報告應(yīng)包括但不限于評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容。