|
序號 |
要點 |
條款 |
證明材料 |
|
1. |
服務技術要求 |
建立信息安全風險評估服務流程。 |
按照相關標準建立的信息安全風險評估服務流程,流程圖中應包括每個階段對應的職責、輸入輸出等。 |
|
2. |
制定信息安全風險評估服務規范并按照規范實施。 |
已制定的信息安全風險評估服務規范。 |
|
3. |
準備階段-服務方案制定 |
編制風險評估方案、風險評估模板,并在項目實施過程中按照模板實施。 |
信息安全風險評估方案、風險評估模板。 |
|
4. |
應為風險評估實施活動提供總體計劃或方案,方案應包含風險評價準則。 |
已完成項目的風險評估方案,方案中應包含風險評價原則。 |
|
5. |
僅二級/一級要求:應進行充分的系統調研,形成調研報告。 |
已完成項目的系統調研報告,報告中對被評估對象有清晰的描述。 |
|
6. |
準備階段-項目團隊 |
應組建評估團隊。風險評估實施團隊應由管理層、相關業務骨干、IT技術人員等組成。 |
已完成項目的風險評估方案中對風險評估實施團隊成員及團隊構架的介紹。
|
|
7. |
風險識別階段-資產識別 |
參考國家或國際標準,對資產進行分類。 |
參照已發布的標準,形成的資產分類列表。 |
|
8. |
識別重要信息資產,形成資產清單。 |
已完成項目的重要資產清單。 |
|
9. |
對已識別的重要資產,分析資產的保密性、完整性和可用性等安全屬性的等級要求。 |
已完成項目的重要資產的三性等級要求列表。 |
|
10. |
對資產根據其在保密性、完整性和可用性上的等級分析結果,經過綜合評定進行賦值。 |
已完成項目的重要資產賦值表。 |
|
11. |
僅一級要求:識別信息系統處理的業務功能,重點識別出關鍵業務功能和關鍵業務流程。 |
已完成項目中識別信息系統、以及業務系統承載的業務、業務流程的證明材料。 |
|
12. |
僅一級要求:根據業務特點和業務流程識別出關鍵數據和關鍵服務。 |
已完成項目中識別信息系統、以及業務系統承載的業務、業務流程的證明材料。 |
|
13. |
僅一級要求:識別處理數據和提供服務所需的關鍵系統單元和關鍵系統組件。 |
已完成項目中對處理數據和提供服務所需的關鍵系統單元和關鍵系統組件的識別分析證明材料。 |
|
14. |
風險識別階段-脆弱性識別 |
應對已識別資產的安全管理或技術脆弱性利用適當的工具進行核查,并形成安全管理或技術脆弱性列表。 |
已完成項目中對脆弱性識別時使用的工具列表、管理或技術脆弱性列表。 |
|
15. |
應對脆弱性進行賦值。 |
已完成項目的脆弱性賦值列表。 |
|
16. |
風險識別階段-威脅識別 |
應參考國家或國際標準,對威脅進行分類。 |
威脅分類清單。 |
|
17. |
應識別所評估信息資產存在的潛在威脅。 |
已完成項目中的威脅識別清單。 |
|
18. |
僅一級要求:采用多種方法進行威脅調查。 |
已完成項目中采取多種威脅調查方法的證明材料。 |
|
19. |
風險識別-已有安全措施確認 |
應識別組織已采取的安全措施。 |
已完成項目中的已識別的安全措施列表。 |
|
20. |
應評價已采取的安全措施的有效性。 |
已完成項目中分析安全措施有效性的證明材料。
|