信息安全风险评估服务资质二级评价要求

Date31 7月 2019

信息安全风险评估服务资质二级评价要求针对评估准备、风险识别、风险分析、风险处置四个
过程进行，项目实施过程应形成文件，具体分级要求如下：

A2 信息安全风险评估服务资质二级要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
申请二级资质认证的单位，针对多种类型组织，多行业组织，至少完成一个风险评估项目，该
系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力；具备跟踪、验证信
息安全漏洞的能力。
A2.1准备阶段
A2.1.1服务方案制定
a) 应进行充分的系统调研，形成调研报告。
b) 宜根据风险评估目标以及调研结果，确定评估依据和评估方法。
c) 应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
需采取相关措施，保障工具自身的安全性、适用性。
A2.2风险识别阶段
A2.2.1威胁识别
应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段
A2.3.1风险分析模型建立
构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
应对不同等级的安全风险进行统计、评价，形成最终的总体安全评价。
A2.3.4风险评估报告
a) 风险评估报告中应对本次评估建立的风险分析模型进行说明，并应阐明本次评估采用的风
险计算方法及风险评价方法。
b) 风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段
A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。
A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。