信息安全风险评估服务资质一级评价要求
信息安全风险评估服务资质一级评价要求针对评估准备、风险识别、风险分析、风险处置四个
过程进行,项目实施过程应形成文件,具体分级要求如下:
A3信息安全风险评估服务资质一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至
少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性
进行识别的能力;具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段
A3.1.1人员和工具管理
需采取相关措施, 保障工具管理的规范性。
A3.2风险识别阶段
A3.2.1资产识别
a) 识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b) 根据业务特点和业务流程识别出关键数据和关键服务。
c) 识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a) 协助被评估组织召开评审会。
b) 依据最终的评审意见进行相应的整改,形成最终的整改材料。
A3.3.2残余风险处置
a) 对组织提出完整的风险处置方案。
b) 必要时,对残余风险进行再评估。
安信达咨询可为您提供专业周到的信息安全风险评估服务资质一级申请咨询与代办服务,欢迎与我们联系。134-1861-1761 孙经理。
