信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表

1、CCRCQOT0428B4信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心制第1頁共9頁信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表組織名稱組織名稱申報(bào)級別申報(bào)級別評估時(shí)間評估時(shí)間評估部門評估部門人員人員自評估自評估結(jié)論結(jié)論序號要點(diǎn)要點(diǎn)條款條款需提供證明材料需提供證明材料符合不符合證明材料清單證明材料清單1.建立信息安全風(fēng)險(xiǎn)評估服務(wù)流程。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全風(fēng)險(xiǎn)評估服務(wù)流程，流程圖中應(yīng)

2、包括每個(gè)階段對應(yīng)的職責(zé)、輸入輸出等。2.服務(wù)技術(shù)要求制定信息安全風(fēng)險(xiǎn)評估服務(wù)規(guī)范并按照規(guī)范實(shí)施。已制定的信息安全風(fēng)險(xiǎn)評估服務(wù)規(guī)范。3.僅三級要求：僅三級要求：至少有一個(gè)完成的風(fēng)險(xiǎn)評估項(xiàng)目，該系統(tǒng)的用戶數(shù)在1000以上；具備從管理或（和）技術(shù)層面對脆弱性進(jìn)行識(shí)別的能力。一個(gè)已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理或（和）技術(shù)層面脆弱性識(shí)別的材料。4.基本資格僅二級要求：僅二級要求：針對多種類型組織，多行業(yè)組織，至少完成一個(gè)風(fēng)險(xiǎn)評

3、估項(xiàng)目，該系統(tǒng)的用戶數(shù)在10000以上；具備從管理和技術(shù)層面對脆弱性進(jìn)行一個(gè)已完成項(xiàng)目的合同、用戶數(shù)、驗(yàn)收的證明材料，包括管理和技術(shù)層面脆弱性識(shí)別的材料。CCRCQOT0428B4信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證自評估表中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心制第3頁共9頁序號要點(diǎn)要點(diǎn)條款條款需提供證明材料需提供證明材料自評估自評估結(jié)論結(jié)論證明材料清單證明材料清單符合不符合13.僅二級僅二級一級要求：一級要求：應(yīng)形成較為完整的風(fēng)險(xiǎn)評估實(shí)施方案。依據(jù)和

4、評估方法，評估依據(jù)和評估方法符合國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)要求。14.應(yīng)組建評估團(tuán)隊(duì)。風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成。已完成項(xiàng)目的風(fēng)險(xiǎn)評估方案中對風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)成員及團(tuán)隊(duì)構(gòu)架的介紹。15.應(yīng)根據(jù)評估的需求準(zhǔn)備必要的工具。已完成項(xiàng)目的風(fēng)險(xiǎn)評估方案中對評估工具的介紹，工具列表及主要功能描述。16.應(yīng)對評估團(tuán)隊(duì)實(shí)施風(fēng)險(xiǎn)評估前進(jìn)行安全教育和技術(shù)培訓(xùn)。項(xiàng)目實(shí)施前的安全教育及技術(shù)培訓(xùn)的證明材料，如啟動(dòng)會(huì)的PPT，PPT