|
序號(hào) |
要點(diǎn) |
條款 |
證明材料 |
|
1. |
服務(wù)技術(shù)要求 |
建立信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程���。 |
按照相關(guān)標(biāo)準(zhǔn)建立的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)流程��,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)�、輸入輸出等。 |
|
2. |
制定信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范并按照規(guī)范實(shí)施���。 |
已制定的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范�。 |
|
3. |
準(zhǔn)備階段-服務(wù)方案制定 |
編制風(fēng)險(xiǎn)評(píng)估方案�����、風(fēng)險(xiǎn)評(píng)估模板�,并在項(xiàng)目實(shí)施過(guò)程中按照模板實(shí)施�。 |
信息安全風(fēng)險(xiǎn)評(píng)估方案、風(fēng)險(xiǎn)評(píng)估模板���。 |
|
4. |
應(yīng)為風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供總體計(jì)劃或方案��,方案應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則��。 |
已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案�,方案中應(yīng)包含風(fēng)險(xiǎn)評(píng)價(jià)原則�����。 |
|
5. |
僅二級(jí)/一級(jí)要求:應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研����,形成調(diào)研報(bào)告��。 |
已完成項(xiàng)目的系統(tǒng)調(diào)研報(bào)告��,報(bào)告中對(duì)被評(píng)估對(duì)象有清晰的描述����。 |
|
6. |
準(zhǔn)備階段-項(xiàng)目團(tuán)隊(duì) |
應(yīng)組建評(píng)估團(tuán)隊(duì)����。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干�、IT技術(shù)人員等組成。 |
已完成項(xiàng)目的風(fēng)險(xiǎn)評(píng)估方案中對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹���。
|
|
7. |
風(fēng)險(xiǎn)識(shí)別階段-資產(chǎn)識(shí)別 |
參考國(guó)家或國(guó)際標(biāo)準(zhǔn)�,對(duì)資產(chǎn)進(jìn)行分類(lèi)����。 |
參照已發(fā)布的標(biāo)準(zhǔn),形成的資產(chǎn)分類(lèi)列表���。 |
|
8. |
識(shí)別重要信息資產(chǎn)����,形成資產(chǎn)清單。 |
已完成項(xiàng)目的重要資產(chǎn)清單��。 |
|
9. |
對(duì)已識(shí)別的重要資產(chǎn)����,分析資產(chǎn)的保密性、完整性和可用性等安全屬性的等級(jí)要求�����。 |
已完成項(xiàng)目的重要資產(chǎn)的三性等級(jí)要求列表�。 |
|
10. |
對(duì)資產(chǎn)根據(jù)其在保密性��、完整性和可用性上的等級(jí)分析結(jié)果�,經(jīng)過(guò)綜合評(píng)定進(jìn)行賦值。 |
已完成項(xiàng)目的重要資產(chǎn)賦值表�����。 |
|
11. |
僅一級(jí)要求:識(shí)別信息系統(tǒng)處理的業(yè)務(wù)功能�����,重點(diǎn)識(shí)別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)流程。 |
已完成項(xiàng)目中識(shí)別信息系統(tǒng)�����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)��、業(yè)務(wù)流程的證明材料�。 |
|
12. |
僅一級(jí)要求:根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識(shí)別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)。 |
已完成項(xiàng)目中識(shí)別信息系統(tǒng)����、以及業(yè)務(wù)系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程的證明材料���。 |
|
13. |
僅一級(jí)要求:識(shí)別處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件�。 |
已完成項(xiàng)目中對(duì)處理數(shù)據(jù)和提供服務(wù)所需的關(guān)鍵系統(tǒng)單元和關(guān)鍵系統(tǒng)組件的識(shí)別分析證明材料�����。 |
|
14. |
風(fēng)險(xiǎn)識(shí)別階段-脆弱性識(shí)別 |
應(yīng)對(duì)已識(shí)別資產(chǎn)的安全管理或技術(shù)脆弱性利用適當(dāng)?shù)墓ぞ哌M(jìn)行核查��,并形成安全管理或技術(shù)脆弱性列表�。 |
已完成項(xiàng)目中對(duì)脆弱性識(shí)別時(shí)使用的工具列表、管理或技術(shù)脆弱性列表�����。 |
|
15. |
應(yīng)對(duì)脆弱性進(jìn)行賦值。 |
已完成項(xiàng)目的脆弱性賦值列表�。 |
|
16. |
風(fēng)險(xiǎn)識(shí)別階段-威脅識(shí)別 |
應(yīng)參考國(guó)家或國(guó)際標(biāo)準(zhǔn),對(duì)威脅進(jìn)行分類(lèi)�����。 |
威脅分類(lèi)清單����。 |
|
17. |
應(yīng)識(shí)別所評(píng)估信息資產(chǎn)存在的潛在威脅。 |
已完成項(xiàng)目中的威脅識(shí)別清單��。 |
|
18. |
僅一級(jí)要求:采用多種方法進(jìn)行威脅調(diào)查�。 |
已完成項(xiàng)目中采取多種威脅調(diào)查方法的證明材料。 |
|
19. |
風(fēng)險(xiǎn)識(shí)別-已有安全措施確認(rèn) |
應(yīng)識(shí)別組織已采取的安全措施���。 |
已完成項(xiàng)目中的已識(shí)別的安全措施列表。 |
|
20. |
應(yīng)評(píng)價(jià)已采取的安全措施的有效性����。 |
已完成項(xiàng)目中分析安全措施有效性的證明材料。
|