信息安全風險評估服務資質二級評價要求

Date31 7 月 2019

信息安全風險評估服務資質二級評價要求針對評估準備、風險識別、風險分析、風險處置四個
過程進行，項目實施過程應形成文件，具體分級要求如下：

A2 信息安全風險評估服務資質二級要求
組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求：
申請二級資質認證的單位，針對多種類型組織，多行業(yè)組織，至少完成一個風險評估項目，該
系統(tǒng)的用戶數在10,000以上；具備從管理和技術層面對脆弱性進行識別的能力；具備跟蹤、驗證信
息安全漏洞的能力。
A2.1準備階段
A2.1.1服務方案制定
a) 應進行充分的系統(tǒng)調研，形成調研報告。
b) 宜根據風險評估目標以及調研結果，確定評估依據和評估方法。
c) 應形成較為完整的風險評估實施方案。
A2.1.2 人員和工具管理
需采取相關措施，保障工具自身的安全性、適用性。
A2.2風險識別階段
A2.2.1威脅識別
應識別出組織和信息系統(tǒng)中潛在的對組織和信息系統(tǒng)造成影響的威脅。
A2.3風險分析階段
A2.3.1風險分析模型建立
構建風險分析模型應將資產、威脅、脆弱性三個基本要素及每個要素各自的屬性進行關聯。
A2.3.2風險計算方法確定
在風險計算時應根據實際情況選擇定性計算方法或定量計算方法。
A2.3.3風險評價
應對不同等級的安全風險進行統(tǒng)計、評價，形成最終的總體安全評價。
A2.3.4風險評估報告
a) 風險評估報告中應對本次評估建立的風險分析模型進行說明，并應闡明本次評估采用的風
險計算方法及風險評價方法。
b) 風險評估報告中應對計算分析出的風險給予比較詳細的說明。
A2.4風險處置階段
A2.4.1風險處置原則確定
應協(xié)助被評估組織確定風險處置原則，以及風險處置原則適用的范圍和例外情況。
A2.4.2安全整改建議
對組織不可接受的風險提出風險處置措施。