|
序號 |
要點(diǎn) |
條款 |
證明材料 |
|
1. |
服務(wù)技術(shù)要求 |
建立信息安全風(fēng)險評估服務(wù)流程�。 |
按照相關(guān)標準建立的信息安全風(fēng)險評估服務(wù)流程����,流程圖中應包括每個(gè)階段對應的職責����、輸入輸出等����。 |
|
2. |
制定信息安全風(fēng)險評估服務(wù)規范并按照規范實(shí)施��。 |
已制定的信息安全風(fēng)險評估服務(wù)規范��。 |
|
3. |
準備階段-服務(wù)方案制定 |
編制風(fēng)險評估方案����、風(fēng)險評估模板�,并在項目實(shí)施過(guò)程中按照模板實(shí)施���。 |
信息安全風(fēng)險評估方案��、風(fēng)險評估模板��。 |
|
4. |
應為風(fēng)險評估實(shí)施活動(dòng)提供總體計劃或方案�����,方案應包含風(fēng)險評價(jià)準則��。 |
已完成項目的風(fēng)險評估方案����,方案中應包含風(fēng)險評價(jià)原則�。 |
|
5. |
僅二級/一級要求:應進(jìn)行充分的系統調研�����,形成調研報告����。 |
已完成項目的系統調研報告�����,報告中對被評估對象有清晰的描述����。 |
|
6. |
準備階段-項目團隊 |
應組建評估團隊����。風(fēng)險評估實(shí)施團隊應由管理層��、相關(guān)業(yè)務(wù)骨干����、IT技術(shù)人員等組成��。 |
已完成項目的風(fēng)險評估方案中對風(fēng)險評估實(shí)施團隊成員及團隊構架的介紹��。
|
|
7. |
風(fēng)險識別階段-資產(chǎn)識別 |
參考國家或國際標準��,對資產(chǎn)進(jìn)行分類(lèi)���。 |
參照已發(fā)布的標準��,形成的資產(chǎn)分類(lèi)列表�。 |
|
8. |
識別重要信息資產(chǎn)��,形成資產(chǎn)清單�����。 |
已完成項目的重要資產(chǎn)清單�。 |
|
9. |
對已識別的重要資產(chǎn)�����,分析資產(chǎn)的保密性��、完整性和可用性等安全屬性的等級要求��。 |
已完成項目的重要資產(chǎn)的三性等級要求列表��。 |
|
10. |
對資產(chǎn)根據其在保密性�����、完整性和可用性上的等級分析結果�,經(jīng)過(guò)綜合評定進(jìn)行賦值��。 |
已完成項目的重要資產(chǎn)賦值表����。 |
|
11. |
僅一級要求:識別信息系統處理的業(yè)務(wù)功能��,重點(diǎn)識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程�����。 |
已完成項目中識別信息系統���、以及業(yè)務(wù)系統承載的業(yè)務(wù)�、業(yè)務(wù)流程的證明材料�。 |
|
12. |
僅一級要求:根據業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識別出關(guān)鍵數據和關(guān)鍵服務(wù)����。 |
已完成項目中識別信息系統��、以及業(yè)務(wù)系統承載的業(yè)務(wù)����、業(yè)務(wù)流程的證明材料�����。 |
|
13. |
僅一級要求:識別處理數據和提供服務(wù)所需的關(guān)鍵系統單元和關(guān)鍵系統組件����。 |
已完成項目中對處理數據和提供服務(wù)所需的關(guān)鍵系統單元和關(guān)鍵系統組件的識別分析證明材料�。 |
|
14. |
風(fēng)險識別階段-脆弱性識別 |
應對已識別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當的工具進(jìn)行核查�����,并形成安全管理或技術(shù)脆弱性列表����。 |
已完成項目中對脆弱性識別時(shí)使用的工具列表����、管理或技術(shù)脆弱性列表����。 |
|
15. |
應對脆弱性進(jìn)行賦值����。 |
已完成項目的脆弱性賦值列表��。 |
|
16. |
風(fēng)險識別階段-威脅識別 |
應參考國家或國際標準����,對威脅進(jìn)行分類(lèi)���。 |
威脅分類(lèi)清單��。 |
|
17. |
應識別所評估信息資產(chǎn)存在的潛在威脅���。 |
已完成項目中的威脅識別清單�。 |
|
18. |
僅一級要求:采用多種方法進(jìn)行威脅調查����。 |
已完成項目中采取多種威脅調查方法的證明材料�����。 |
|
19. |
風(fēng)險識別-已有安全措施確認 |
應識別組織已采取的安全措施��。 |
已完成項目中的已識別的安全措施列表���。 |
|
20. |
應評價(jià)已采取的安全措施的有效性�����。 |
已完成項目中分析安全措施有效性的證明材料��。
|