信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求針對(duì)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置四個(gè)
過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級(jí)要求如下：

A1 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)三級(jí)要求
申請(qǐng)三級(jí)資質(zhì)認(rèn)證的單位，至少有1個(gè)完成的風(fēng)險(xiǎn)評(píng)估項(xiàng)目，該系統(tǒng)的用戶數(shù)在1,000以上；具
備從管理或（和）技術(shù)層面對(duì)脆弱性進(jìn)行識(shí)別的能力；具備跟蹤信息安全漏洞的能力。
A1.1準(zhǔn)備階段
A1.1.1服務(wù)方案制定
a) 編制風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模板，并在項(xiàng)目實(shí)施過程中按照模板實(shí)施。
b) 應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供總體計(jì)劃或方案，方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則。
A1.1.2人員和工具準(zhǔn)備
a) 應(yīng)組建評(píng)估團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。
b) 應(yīng)根據(jù)評(píng)估的需求準(zhǔn)備必要的工具。
c) 應(yīng)對(duì)評(píng)估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評(píng)估前進(jìn)行安全教育和技術(shù)培訓(xùn)。
A1.2風(fēng)險(xiǎn)識(shí)別階段
A1.2.1資產(chǎn)識(shí)別
a) 參考國(guó)家或國(guó)際標(biāo)準(zhǔn)，對(duì)資產(chǎn)進(jìn)行分類。
b) 識(shí)別重要信息資產(chǎn)，形成資產(chǎn)清單。
c) 對(duì)已識(shí)別的重要資產(chǎn)，分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級(jí)要求。
d) 對(duì)資產(chǎn)根據(jù)其在保密性、完整性和可用性上的等級(jí)分析結(jié)果，經(jīng)過綜合評(píng)定進(jìn)行賦值。
A1.2.2脆弱性識(shí)別
a) 應(yīng)對(duì)已識(shí)別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查，并形成安全管理或技
術(shù)脆弱性列表。
b) 應(yīng)對(duì)脆弱性進(jìn)行賦值。
A1.2.3威脅識(shí)別
a) 應(yīng)參考國(guó)家或國(guó)際標(biāo)準(zhǔn)，對(duì)威脅進(jìn)行分類；
b) 應(yīng)識(shí)別所評(píng)估信息資產(chǎn)存在的潛在威脅；
c) 應(yīng)識(shí)別威脅利用脆弱性的可能性；
d) 應(yīng)分析威脅利用脆弱性對(duì)組織可能造成的影響。
A1.2.4已有安全措施確認(rèn)
a) 應(yīng)識(shí)別組織已采取的安全措施；
b) 應(yīng)評(píng)價(jià)已采取的安全措施的有效性。
A1.3風(fēng)險(xiǎn)分析階段
A1.3.1風(fēng)險(xiǎn)分析模型建立
a) 應(yīng)構(gòu)建風(fēng)險(xiǎn)分析模型。
b) 應(yīng)根據(jù)風(fēng)險(xiǎn)分析模型對(duì)已識(shí)別的重要資產(chǎn)的威脅、脆弱性
A1.3.1風(fēng)險(xiǎn)分析模型建立
a) 應(yīng)構(gòu)建風(fēng)險(xiǎn)分析模型。
b) 應(yīng)根據(jù)風(fēng)險(xiǎn)分析模型對(duì)已識(shí)別的重要資產(chǎn)的威脅、脆弱性及安全措施進(jìn)行分析。
c) 應(yīng)根據(jù)分析模型確定的方法計(jì)算出風(fēng)險(xiǎn)值。
A1.3.2風(fēng)險(xiǎn)評(píng)價(jià)
應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則確定風(fēng)險(xiǎn)等級(jí)。
A1.3.3風(fēng)險(xiǎn)評(píng)估報(bào)告
a) 應(yīng)向客戶提供風(fēng)險(xiǎn)評(píng)估報(bào)告。
b) 報(bào)告應(yīng)包括但不限于評(píng)估過程、評(píng)估方法、評(píng)估結(jié)果、處置建議等內(nèi)容。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)三級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

相關(guān)文章：

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求