序号 |
要点 |
条款 |
证明材料 |
1. |
服务技术要求 |
建立信息安全风险评估服务流程。 |
按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 |
2. |
制定信息安全风险评估服务规范并按照规范实施。 |
已制定的信息安全风险评估服务规范。 |
3. |
准备阶段-服务方案制定 |
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 |
信息安全风险评估方案、风险评估模板。 |
4. |
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价准则。 |
已完成项目的风险评估方案,方案中应包含风险评价原则。 |
5. |
仅二级/一级要求:应进行充分的系统调研,形成调研报告。 |
已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。 |
6. |
准备阶段-项目团队 |
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。 |
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
|
7. |
风险识别阶段-资产识别 |
参考国家或国际标准,对资产进行分类。 |
参照已发布的标准,形成的资产分类列表。 |
8. |
识别重要信息资产,形成资产清单。 |
已完成项目的重要资产清单。 |
9. |
对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。 |
已完成项目的重要资产的三性等级要求列表。 |
10. |
对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 |
已完成项目的重要资产赋值表。 |
11. |
仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。 |
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 |
12. |
仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。 |
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 |
13. |
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。 |
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。 |
14. |
风险识别阶段-脆弱性识别 |
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。 |
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。 |
15. |
应对脆弱性进行赋值。 |
已完成项目的脆弱性赋值列表。 |
16. |
风险识别阶段-威胁识别 |
应参考国家或国际标准,对威胁进行分类。 |
威胁分类清单。 |
17. |
应识别所评估信息资产存在的潜在威胁。 |
已完成项目中的威胁识别清单。 |
18. |
仅一级要求:采用多种方法进行威胁调查。 |
已完成项目中采取多种威胁调查方法的证明材料。 |
19. |
风险识别-已有安全措施确认 |
应识别组织已采取的安全措施。 |
已完成项目中的已识别的安全措施列表。 |
20. |
应评价已采取的安全措施的有效性。 |
已完成项目中分析安全措施有效性的证明材料。 |