CCRC-QOT-0428-B 4 风险评估

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

信息安全风险评估服务资质认证自评估表

组织名称 评估时间 自评估结论 要点 条款 需提供证明材料 不符符合 合 一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。 证明材料清单 申报级别 评估部门/人员 序号 1. 服务技术要求 建立信息安全风险评估服务流程。 制定信息安全风险评估服务规范并按照规范实施。 仅三级要求：至少有一个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。 仅二级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力。 按照相关标准建立的信息安全风险评估服务流程，流程图中应包括每个阶段对应的职责、输入输出等。 已制定的信息安全风险评估服务规范。 一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。 2. 3. 基本资格 4. 中国网络安全审查技术与认证中心 制 第 1 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。 证明材料清单 5. 6. 7. 8. 9. 10. 准备阶段-11. 服务方案制定 12. 13. 仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。 仅三级要求：具备跟踪信息安全漏洞的能力 仅二级要求：具备跟踪、验证信息安全漏洞的能力。 仅一级要求：具备跟踪、验证、挖掘信息安全漏洞的能力。 编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。 应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。 跟踪信息安全漏洞的证明材料 跟踪、验证信息安全漏洞的证明材料 跟踪、验证、挖掘信息安全漏洞的证明材料。 信息安全风险评估方案、风险评估模板。 已完成项目的风险评估方案，方案中应包含风险评价原则。 已完成项目的系统调研报告，报告中对被评估对象有清晰的描述。 已完成项目的风险评估实施方案中应根据目标及调研结果，明确评估依据和评估方法，评估依据和评估方法符合国家标准、行业标准及相关要 仅二级/一级要求：应进行充分的系统调研，形成调研报告。 仅二级/一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。 仅二级/一级要求：应形成较为完整的 中国网络安全审查技术与认证中心 制 第 2 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 风险评估实施方案。 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。 求。 已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。 已完成项目的风险评估方案中对评估工具的介绍，工具列表及主要功能描述。 项目实施前的安全教育及技术培训的证明材料，如启动会的PPT，PPT中包含培训的内容，以及其他可证明对其安全教育、技术方面培训的材料。 14. 15. 准备阶段-人员和工16. 具管理 应根据评估的需求准备必要的工具。 应对评估团队实施风险评估前进行安全教育和技术培训。 17. 18. 19. 20. 工具的安全测试证明材料；定期或工仅二级/一级要求：需采取相关措施，具软件有重大版本变更时，对工具软保障工具自身的安全性、适用性。 件进行适用性确认的测试记录。 仅一级要求：需采取相关措施，保障工已制定的工具管理制度及执行记录。 具管理的规范性。 风险识别参考国家或国际标准，对资产进行分参照已发布的标准，形成的资产分类列表。 阶段-资产类。 识别 识别重要信息资产，形成资产清单。 已完成项目的重要资产清单。 中国网络安全审查技术与认证中心 制 第 3 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 已完成项目的重要资产赋值表。 证明材料清单 21. 22. 对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。 对资产根据其在保密性、完整性和可用性上的等级分析结果，经过综合评定进行赋值。 已完成项目的重要资产的三性等级要求列表。 23. 24. 25. 26. 27. 仅一级要求：识别信息系统处理的业务已完成项目中识别信息系统、以及业功能，重点识别出关键业务功能和关键务系统承载的业务、业务流程的证明业务流程。 材料。 已完成项目中识别信息系统、以及业仅一级要求：根据业务特点和业务流程务系统承载的业务、业务流程的证明识别出关键数据和关键服务。 材料。 已完成项目中对处理数据和提供服仅一级要求：识别处理数据和提供服务务所需的关键系统单元和关键系统所需的关键系统单元和关键系统组件。 组件的识别分析证明材料。 应对已识别资产的安全管理或技术脆已完成项目中对脆弱性识别时使用风险识别弱性利用适当的工具进行核查，并形成的工具列表、管理或技术脆弱性列阶段-脆弱安全管理或技术脆弱性列表。 表。 性识别 应对脆弱性进行赋值。 已完成项目的脆弱性赋值列表。 应参考国家或国际标准，对威胁进行分类； 应识别所评估信息资产存在的潜在威威胁分类清单。 已完成项目中的威胁识别清单。 28. 风险识别阶段-威胁29. 识别 中国网络安全审查技术与认证中心 制 第 4 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 胁； 30. 31. 应识别威胁利用脆弱性的可能性； 应分析威胁利用脆弱性对组织可能造成的影响。 已完成项目中分析威胁利用脆弱性可能性的证明材料。 已完成项目中分析脆弱性发生对组织造成影响的证明材料。 32. 33. 34. 风险识别-已有安全35. 措施确认 36. 风险分析阶段-风险37. 分析模型建立 38. 仅二级/一级要求：应识别出组织和信已完成项目中对组织和信息系统造息系统中潜在的对组织和信息系统造成的潜在威胁进行分析的证明材料。 成影响的威胁。 仅一级要求：采用多种方法进行威胁调已完成项目中采取多种威胁调查方查。 法的证明材料。 已完成项目中的已识别的安全措施应识别组织已采取的安全措施； 列表。 已完成项目中分析安全措施有效性应评价已采取的安全措施的有效性。 的证明材料。 已完成项目的风险评估报告中对风应构建风险分析模型。 险分析模型的描述，并验证其可行性、科学性。 应根据风险分析模型对已识别的重要已完成项目的风险评估报告中，对威资产的威胁、脆弱性及安全措施进行分胁、脆弱性及安全措施分析的描述。 析。 仅二级/一级要求：构建风险分析模型已完成项目的风险评估报告中对资应将资产、威胁、脆弱性三个基本要素产、威胁、脆弱性三个基本要素进行 中国网络安全审查技术与认证中心 制 第 5 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 及每个要素各自的属性进行关联。 关联的证明材料。 39. 风险分析40. 阶段-风险计算方法确定 41. 42. 43. 44. 风险分析阶段-风险评价 风险分析-风险评估45. 报告 已完成项目的风险评估报告中对计仅三级要求：应根据分析模型确定的方算方法的描述，计算得出风险值的过法计算出风险值。 程。 仅二级/一级要求：在风险计算时，应根据实际情况选择定性计算方法或定量计算方法。 已完成项目的风险评估报告中对评评价方法、计算方法的描述，仅二级/一级要求：风险评估报告中应估方法、对本次评估建立的风险分析模型进行计算得出风险值的过程。 说明，并应阐明本次评估采用的风险计算方法及风险评价方法。 已完成项目的风险评估报告中的评应根据风险评价准则确定风险等级。 价准则，并根据评价准则确定风险等级的证明材料。 仅二级/一级要求：应对不同等级的安已完成项目的风险评估报告中的安全风险进行统计、评价，形成最终的总全评价内容。 体安全评价。 已完成的所申请资质级别要求的风应向客户提供风险评估报告。 险评估报告，报告中至少包括评估过报告应包括但不限于评估过程、评估方程、评估方法、评估结果、处置建议法、评估结果、处置建议等内容。 等内容。 中国网络安全审查技术与认证中心 制 第 6 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 46. 风险处置阶段-风险47. 处置原则确定 风险处置48. 阶段-安全整改建议 仅二级/一级要求：风险评估报告中应已完成项目的风险评估报告中对风对计算分析出的风险给予比较详细的险给予详细说明的证明材料。 说明。 仅二级/一级要求：应协助被评估组织已完成项目的风险评估报告或建议确定风险处置原则，以及风险处置原则报告中对风险处置原则及适用的范适用的范围和例外情况。 围和例外情况说明的证明材料。 已完成项目的风险评估报告或建议仅二级/一级要求：对组织不可接受的报告中对组织不可接受的风险提出风险提出风险处置措施。 风险处置措施或建议的证明材料。 服务提供者协助被评估组织组织评仅一级要求：协助被评估组织召开评审49. 审会的证明材料，如会议通知、专家风险处置会。 签到表、专家意见等。 阶段-组织评审会 仅一级要求：依据最终的评审意见进行已完成项目的专家评审意见、整改措50. 相应的整改，形成最终的整改材料。 施及其总结。 已完成项目的残余风险处置方案，方仅一级要求：对组织提出完整的风险处51. 案至少包含处置措施、工具、时间计风险处置置方案。 划等内容。 阶段-残余风险处置 仅一级要求：必要时，对残余风险进行已完成项目中对残余风险进行再评52. 再评估。 估的证明材料。 中国网络安全审查技术与认证中心 制 第 7 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

序号 自评估结论 要点 条款 需提供证明材料 不符符合 合 证明材料清单 53. 上一年度提出的观察项整改情况（如有） 54. 55. 56. 上一年度提出的不符合项整改情况（如有） 57. 58. 中国网络安全审查技术与认证中心 制 第 8 页 共 9 页

CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表

自评估结论：

经自主评估，本单位的信息安全风险评估服务满足《信息安全服务 规范》 级要求，申请第三方审核。

本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。

中国网络安全审查技术与认证中心 制 第 9 页 共 9 页

本文来源：https://www.bwwdw.com/article/9nso.html