信息安全风险评估服务资质认证自评估表.doc

信息安全风险评估服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合1.服务技术 要求建立信息安全风险评估服务流程按照相关标准建立的信息安全风险 评估服务流程，流程图中应包括每个 阶段对应的职责、输入输出等2.制定信息安全风险评估服务规范并按 照规范实施已制定的信息安全风险评估服务规 范3.基本资格仅三级要求：至少有一个完成的风险评 估项目，该系统的用户数在 1,000以上； 具备从管理或（和）技术层面对脆弱性 进行识别的能力一个已完成项目的合同、用户数、验 收的证明材料，包括管理或（和）技 术层面脆弱性识别的材料4.仅二级要求：针对多种类型组织， 多行 业组织，至少完成一个风险评估项目， 该系统的用户数在 10,000以上；具备从 管理和技术层面对脆弱性进行识别的 能力一个已完成项目的合同、用户数、验 收的证明材料，包括管理和技术层面 脆弱性识别的材料序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合5.仅一级要求：能够在全国范围内，针对 5个（含）以上行业开展风险评估服务； 至少完成两个风险评估项目，该系统的 用户数在100,000以上；具备从业务、 管理和技术层面对脆弱性进行识别的 能力。

5个已完成项目的合同、用户数、验 收的证明材料，从业务、管理和技术 层面对脆弱性进行识别的材料6.仅三级要求：具备跟踪信息安全漏洞的 能力跟踪信息安全漏洞的证明材料7.仅二级要求：具备跟踪、验证信息安全 漏洞的能力跟踪、验证信息安全漏洞的证明材料8.仅一级要求：具备跟踪、验证、挖掘信 息安全漏洞的能力跟踪、验证、挖掘信息安全漏洞的证 明材料9.准备阶段- 服务方案 制疋编制风险评估方案、风险评估模板，并 在项目实施过程中按照模板实施信息安全风险评估方案、风险评估模 板10.应为风险评估实施活动提供总体计划 或方案，方案应包含风险评价原则已完成项目的风险评估方案， 方案中应包含风险评价原则11.仅一级/一级要求：应进行充分的系统 调研，形成调研报告已完成项目的系统调研报告， 报告中对被评估对象有清晰的描述12.仅二级/一级要求：宜根据风险评估目 标以及调研结果，确定评估依据和评估 方法已完成项目的风险评估实施方案中 应根据目标及调研结果， 明确评估依据和评估方法，评估依据和评估方法 符合国家标准、行业标准及相关要13.仅二级/一级要求：应形成较为完整的序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合风险评估实施方案。

求14.准备阶段- 人员和工 具管理应组建评估团队风险评估实施团队应 由管理层、相关业务骨干、IT技术人员 等组成已完成项目的风险评估方案中对风 险评估实施团队成员及团队构架的 介绍15.应根据评估的需求准备必要的工具已完成项目的风险评估方案中对评 估工具的介绍，工具列表及主要功能 描述16.应对评估团队实施风险评估前进行安 全教育和技术培训项目实施前的安全教育及技术培训 的证明材料，如启动会的 PPT, PPT中包含培训的内容， 以及其他可证明 对其安全教育、技术方面培训的材 料17.仅二级/一级要求：需米取相关措施， 保障工具自身的安全性、适用性工具的安全测试证明材料； 定期或工 具软件有重大版本变更时，对工具软 件进行适用性确认的测试记录18.仅一级要求：需米取相关措施，保障工 具管理的规范性已制定的工具管理制度及执行记录19.风险识别 阶段-资产 识别参考国家或国际标准，对资产进行分 类参照已发布的标准， 形成的资产分类 列表20.识别重要信息资产，形成资产清单已完成项目的重要资产清单序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合21.对已识别的重要资产，分析资产的保密 性、完整性和可用性等安全属性的等级 要求。

已完成项目的重要资产的三性等级 要求列表22.对资产根据其在保密性、完整性和可用 性上的等级分析结果，经过综合评定进 行赋值已完成项目的重要资产赋值表23.仅一级要求：识别信息系统处理的业务 功能，重点识别出关键业务功能和关键 业务流程已完成项目中识别信息系统、以及业 务系统承载的业务、业务流程的证明 材料24.仅一级要求：根据业务特点和业务流程 识别出关键数据和关键服务已完成项目中识别信息系统、以及业 务系统承载的业务、业务流程的证明 材料25.仅一级要求：识别处理数据和提供服务 所需的关键系统单元和关键系统组件已完成项目中对处理数据和提供服 务所需的关键系统单元和关键系统 组件的识别分析证明材料26.风险识别 阶段-脆弱 性识别应对已识别资产的安全管理或技术脆 弱性利用适当的工具进行核查，并形成 安全管理或技术脆弱性列表已完成项目中对脆弱性识别时使用 的工具列表、管理或技术脆弱性列 表27.应对脆弱性进行赋值已完成项目的脆弱性赋值列表28.风险识别 阶段-威胁 识别应参考国家或国际标准，对威胁进行分 类；威胁分类清单29.应识别所评估信息资产存在的潜在威已完成项目中的威胁识别清单序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合胁；30.应识别威胁利用脆弱性的可能性；已完成项目中分析威胁利用脆弱性 可能性的证明材料。

31.应分析威胁利用脆弱性对组织可能造 成的影响已完成项目中分析脆弱性发生对组 织造成影响的证明材料32.仅二级/一级要求：应识别出组织和信 息系统中潜在的对组织和信息系统造 成影响的威胁已完成项目中对组织和信息系统造 成的潜在威胁进行分析的证明材料33.仅一级要求：米用多种方法进行威胁调 查已完成项目中米取多种威胁调查方 法的证明材料34.风险识别- 已有安全 措施确认应识别组织已米取的安全措施；已完成项目中的已识别的安全措施 列表35.应评价已米取的安全措施的有效性已完成项目中分析安全措施有效性 的证明材料36.风险分析 阶段-风险 分析模型 建立应构建风险分析模型已完成项目的风险评估报告中对风 险分析模型的描述，并验证其可行 性、科学性37.应根据风险分析模型对已识别的重要 资产的威胁、脆弱性及安全措施进行分 析已完成项目的风险评估报告中， 对威胁、脆弱性及安全措施分析的描述38.仅二级/一级要求：构建风险分析模型 应将资产、威胁、脆弱性二个基本要素已完成项目的风险评估报告中对资 产、威胁、脆弱性三个基本要素进行序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合及每个要素各自的属性进行关联。

关联的证明材料39.风险分析 阶段-风险 计算方法 确定仅三级要求：应根据分析模型确定的方 法计算出风险值已完成项目的风险评估报告中对计 算方法的描述，计算得出风险值的过 程40.仅二级/一级要求：在风险计算时，应 根据头际情况选择疋性计算方法或疋 量计算方法已完成项目的风险评估报告中对评 估方法、评价方法、计算方法的描述， 计算得出风险值的过程41.仅二级/一级要求：风险评估报告中应 对本次评估建立的风险分析模型进行 说明，并应阐明本次评估采用的风险计 算方法及风险评价方法42.风险分析 阶段-风险 评价应根据风险评价准则确定风险等级已完成项目的风险评估报告中的评 价准则，并根据评价准则确定风险等 级的证明材料43.仅二级/一级要求：应对不冋等级的安 全风险进行统计、评价，形成最终的总 体安全评价已完成项目的风险评估报告中的安 全评价内容44.风险分析- 风险评估 报告应向客户提供风险评估报告已完成的所申请资质级别要求的风 险评估报告，报告中至少包括评估过 程、评估方法、评估结果、处置建议 等内容45.报告应包括但不限于评估过程、评估方 法、评估结果、处置建议等内容序要点条款需提供证明材料自评估 结论证明材料清单号符合不 符 合46.仅二级/一级要求：风险评估报告中应 对计算分析出的风险给予比较详细的 说明。

已完成项目的风险评估报告中对风 险给予详细说明的证明材料47.风险处置 阶段-风险 处置原则 确定仅二级/一级要求：应协助被评估组织 确定风险处置原则，以及风险处置原则 适用的范围和例外情况已完成项目的风险评估报告或建议 报告中对风险处置原则及适用的范 围和例外情况说明的证明材料48.风险处置 阶段-安全 整改建议仅二级/一级要求：对组织不可接受的 风险提出风险处置措施已完成项目的风险评估报告或建议 报告中对组织不可接受的风险提出 风险处置措施或建议的证明材料49.风险处置 阶段-组织 评审会仅一级要求：协助被评估组织召开评审 会服务提供者协助被评估组织组织评 审会的证明材料，如会议通知、专家 签到表、专家意见等50.仅一级要求：依据最终的评审意见进行 相应的整改，形成最终的整改材料已完成项目的专家评审意见、 整改措 施及其总结51.风险处置 阶段-残余 风险处置仅一级要求：对组织提出完整的风险处 置方案已完成项目的残余风险处置方案， 方案至少包含处置措施、工具、时间计 划等内容52.仅一级要求：必要时，对残余风险进行 再评估已完成项目中对残余风险进行再评 估的证明材料序 号要点条款需提供证明材料自评估 结论证明材料清单符合不 符 合53.上一年度提出的观察项整改情况（如有）54.55.56.上一年度提出的不符合项整改情况（如有）57.58.自评估结论：经自主评估，本单位的信息安全风险评估服务满足《信息安全服务 规范》—级要求，申请第三方审核。

本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且 均可提供相应证明材料。