信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求

Date31 7 月 2019

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求針對(duì)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置四個(gè)
過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級(jí)要求如下：

A2 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)二級(jí)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
申請(qǐng)二級(jí)資質(zhì)認(rèn)證的單位，針對(duì)多種類型組織，多行業(yè)組織，至少完成一個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目，該
系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力；具備跟蹤、驗(yàn)證信
息安全漏洞的能力。
A2.1準(zhǔn)備階段
A2.1.1服務(wù)方案制定
a) 應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，形成調(diào)研報(bào)告。
b) 宜根據(jù)風(fēng)險(xiǎn)評(píng)估目標(biāo)以及調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。
c) 應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案。
A2.1.2 人員和工具管理
需采取相關(guān)措施，保障工具自身的安全性、適用性。
A2.2風(fēng)險(xiǎn)識(shí)別階段
A2.2.1威脅識(shí)別
應(yīng)識(shí)別出組織和信息系統(tǒng)中潛在的對(duì)組織和信息系統(tǒng)造成影響的威脅。
A2.3風(fēng)險(xiǎn)分析階段
A2.3.1風(fēng)險(xiǎn)分析模型建立
構(gòu)建風(fēng)險(xiǎn)分析模型應(yīng)將資產(chǎn)、威脅、脆弱性三個(gè)基本要素及每個(gè)要素各自的屬性進(jìn)行關(guān)聯(lián)。
A2.3.2風(fēng)險(xiǎn)計(jì)算方法確定
在風(fēng)險(xiǎn)計(jì)算時(shí)應(yīng)根據(jù)實(shí)際情況選擇定性計(jì)算方法或定量計(jì)算方法。
A2.3.3風(fēng)險(xiǎn)評(píng)價(jià)
應(yīng)對(duì)不同等級(jí)的安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)計(jì)、評(píng)價(jià)，形成最終的總體安全評(píng)價(jià)。
A2.3.4風(fēng)險(xiǎn)評(píng)估報(bào)告
a) 風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)對(duì)本次評(píng)估建立的風(fēng)險(xiǎn)分析模型進(jìn)行說明，并應(yīng)闡明本次評(píng)估采用的風(fēng)
險(xiǎn)計(jì)算方法及風(fēng)險(xiǎn)評(píng)價(jià)方法。
b) 風(fēng)險(xiǎn)評(píng)估報(bào)告中應(yīng)對(duì)計(jì)算分析出的風(fēng)險(xiǎn)給予比較詳細(xì)的說明。
A2.4風(fēng)險(xiǎn)處置階段
A2.4.1風(fēng)險(xiǎn)處置原則確定
應(yīng)協(xié)助被評(píng)估組織確定風(fēng)險(xiǎn)處置原則，以及風(fēng)險(xiǎn)處置原則適用的范圍和例外情況。
A2.4.2安全整改建議
對(duì)組織不可接受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。