信息安全風險評估服務資質(zhì)一級評價要求

Date30 7 月 2019

信息安全風險評估服務資質(zhì)一級評價要求針對評估準備、風險識別、風險分析、風險處置四個
過程進行，項目實施過程應形成文件，具體分級要求如下：

A3信息安全風險評估服務資質(zhì)一級要求
組織申報一級資質(zhì)，除滿足二級要求外，還應滿足以下要求：
申請一級資質(zhì)認證的單位，能夠在全國范圍內(nèi)，針對5個（含）以上行業(yè)開展風險評估服務；至
少完成兩個風險評估項目，該系統(tǒng)的用戶數(shù)在100,000以上；具備從業(yè)務、管理和技術(shù)層面對脆弱性
進行識別的能力；具備跟蹤、驗證、挖掘信息安全漏洞的能力。
A3.1 準備階段
A3.1.1人員和工具管理
需采取相關措施，保障工具管理的規(guī)范性。
A3.2風險識別階段
A3.2.1資產(chǎn)識別
a) 識別信息系統(tǒng)處理的業(yè)務功能，重點識別出關鍵業(yè)務功能和關鍵業(yè)務流程。
b) 根據(jù)業(yè)務特點和業(yè)務流程識別出關鍵數(shù)據(jù)和關鍵服務。
c) 識別處理數(shù)據(jù)和提供服務所需的關鍵系統(tǒng)單元和關鍵系統(tǒng)組件。
A3.2.2威脅識別
采用多種方法進行威脅調(diào)查。
A3.3風險處置階段
A3.3.1組織評審會
a) 協(xié)助被評估組織召開評審會。
b) 依據(jù)最終的評審意見進行相應的整改，形成最終的整改材料。
A3.3.2殘余風險處置
a) 對組織提出完整的風險處置方案。
b) 必要時，對殘余風險進行再評估。