当前位置：文档库 › 信息安全服务资质认证--风险评估类自评表

信息安全服务资质认证--风险评估类自评表

信息安全风险评估服务资质认证自评估表

自评估结论：

经自主评估，本单位的信息安全风险评估服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求，申请第三方审核。

本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。

单位法人签字（公章）：

时间：年月日

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告我们单位名日期

报告编写人: 日期：批准人：日期：版本号：第一版本日期第二版本日期终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全风险评估报告DOC

XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服

务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。二. 风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。六. 风险评估概况根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作

从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表

国家信息安全服务资质

国家信息安全服务资质灾难恢复服务资质（一级）认证指南（试行） ?版权2008—中国信息全安全测评中心 2008年5月1日

目录目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) （一）基本资格要求 (3) （二）基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) （三）灾难恢复服务过程能力 (4) 四、申请流程 (6) （一）申请流程图 (6) （二）申请阶段 (6) （三）资格审查阶段 (6) （四）能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) （五）证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)

一、认证依据信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。信息安全灾难恢复服务资质，是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求，在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息全安全测评中心给予的资质认证。

关于信息安全服务资质认证

一体化认证审核/评价记录表自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页

填表说明： 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式，如果通过制度文件提出要求规范化方式为“文件规定”，如果没有制度文件采用工具进行约束规范化方式为“工具实现”，组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求，则选无，但需注意没有进行规范并不意味组织未执行相关活动，组织可能采用约定俗成的方式开展活动，这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式，“资源要求”是执行该活动需要的资源，包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据，如果为文档证据，需要填写抽样的文档的名称和或编号，如果是工具实现，可通过记录或图片的方式。本文件可以附证据附件，需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项，评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息，例如物理环境审核应体现地址，抽样记录应体现涉及的业务和部门。中国网络安全审查技术与认证中心第 2 页共 11 页

中国网络安全审查技术与认证中心第 3 页共 11 页

中国网络安全审查技术与认证中心第 4 页共 11 页

中国网络安全审查技术与认证中心第 5 页共 11 页

中国网络安全审查技术与认证中心第 6 页共 11 页

企业网络与信息安全风险评估规范

目录第一章总则 (3) 第二章风险评估原则 (5) 第三章风险评估模型 (5) 第四章风险评估策略 (9) 第五章风险评估过程框架 (11) 第六章风险评估手段 (15) 第七章文档要求 (16) 第八章项目管理 (17)

第一章总则第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作，是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高网络与信息安全保障水平,特制定本规范。第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析，并根据风险分析结论提出安全建议的过程。第三条通过对网络与信息系统（以下简称信息系统）进行安全评估，至少应该达到以下目标：（一）掌握信息系统的安全现状和面临的安全风险；（二）明确信息系统面对的主要风险以及这些风险产生的原因；（三）为信息系统的建设、运行、维护、使用和改进提供安全性建议。（四）改进与完善企业现有安全策略，实施有效的信息系统风险管理，加强重要信息系统的安全保障。第四条本规范适用于国家电网公司系统各单位，用于指导各单位信息安全评估项目的开展和实施。第五条名词解释

使命：一个组织通过信息化实现的工作任务。信息资产：在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。价值：指信息资产对信息系统的重要程度，以及对信息系统为完成组织使命的重要程度。威胁：信息资产可能受到的来自内部和来自外部的安全侵害。脆弱性：信息资产及其防护措施在安全方面的不足，通常也称为漏洞。风险：是指人为或自然的威胁利用信息系统存在的脆弱性，从而导致信息安全事件发生的可能性及其影响。残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。安全措施：为对付威胁，减少脆弱点，保护资产，限制意外事件的影响，检测和响应意外事件，促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。安全防护需求：指为保证信息系统能够正常使用，在信息安全防护措施方面的要求。

企业信息安全风险评估方案

知识域：信息安全风险评估 ?:?知识子域：风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法：年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具

1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号）中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理〃

国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办［2006 】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。

2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期逬行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评估为信息系统确定安全

服务认证自评估填写规范

编码：ISCCC-QOG-0406-B/0 服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心

ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号文件代码修改章节文件更改通知单编号修改日期修改人批准人 1 B/0 新增 2017.8 翟亚红张剑

服务资质认证自评估表填写规范 1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。 2适用范围适用于所有服务资质申请企业。 3职责申请组织相关人员填写自评估表。 4服务资质认证自评估表填写过程 4.1公共管理自评估表填写规范 4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。 4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。 4.1.3、人员能力填写内容包含以下信息： 1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。 5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。 6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。 4.1.4、业绩填写内容包含以下信息： 1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。 2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。 4.1.5、服务管理填写内容包含以下信息： 1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。提供人员培训制度（可并入人员管理制度），

信息安全风险评估报告模板

XXXXXXXX信息系统信息安全风险评估报告模板项目名称：项目建设单位：风险评估单位： ****年**月**日

目录一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全服务资质认证要求

信息安全服务资质认证要求 ISCCC XXX XXX-2007 信息安全服务资质认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心发布 ××××-××-××实施 ××××-××-××发布备案号：××××—××××

目录前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。信息安全服务............................................ 错误!未定义书签。信息安全服务提供者 ...................................... 错误!未定义书签。信息安全服务资质等级 .................................... 错误!未定义书签。信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。信息安全服务的类型 ...................................... 错误!未定义书签。信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。基本资格................................................ 错误!未定义书签。独立法人 .......................................... 错误!未定义书签。法律要求 .......................................... 错误!未定义书签。基本能力................................................ 错误!未定义书签。资产与规模 ........................................ 错误!未定义书签。人员素质与构成 .................................... 错误!未定义书签。设备、设施与环境 .................................. 错误!未定义书签。业绩 .............................................. 错误!未定义书签。质量管理能力............................................ 错误!未定义书签。体系和管理职责 .................................... 错误!未定义书签。资源管理 .......................................... 错误!未定义书签。项目过程管理 ...................................... 错误!未定义书签。测量、分析和改进 .................................. 错误!未定义书签。客户服务 .......................................... 错误!未定义书签。技术能力更新 ...................................... 错误!未定义书签。安全工程过程能力 ........................................ 错误!未定义书签。风险过程 .......................................... 错误!未定义书签。工程过程 .......................................... 错误!未定义书签。保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。系统安全工程能力成熟模型 ................................ 错误!未定义书签。系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。信息系统安全工程手册 .................................... 错误!未定义书签。软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。组织.................................................... 错误!未定义书签。项目.................................................... 错误!未定义书签。系统.................................................... 错误!未定义书签。安全工程................................................ 错误!未定义书签。安全工程生命期 .......................................... 错误!未定义书签。工作产品................................................ 错误!未定义书签。顾客.................................................... 错误!未定义书签。过程.................................................... 错误!未定义书签。过程能力................................................ 错误!未定义书签。制度化................................................ 错误!未定义书签。过程管理................................................ 错误!未定义书签。

信息安全风险评估报告

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

企业信息安全风险评估资料

【最新资料，WORD文档，可编辑修改】目录一、信息安全风险评估简介 .............................................................. 二、信息安全风险评估流程 .............................................................. 1.风险评估准备 ................................................................................... 2.资产识别............................................................................................ 3.威胁识别............................................................................................ 4.脆弱性识别........................................................................................ 5.风险分析............................................................................................ 三、信息安全风险评估策略方法 ...................................................... 1）定量分析方法 ................................................................................ 2）定性分析方法 ................................................................................ 3）综合分析方法 ................................................................................ 四、信息安全风险评估的注意事项 .................................................. 1、各级领导对评估工作的重视 ........................................................ 2、加强评估工作的组织和管理 ........................................................ 3、注意评估过程中的风险控制。 .................................................... 4、做好各方的协调配合工作。 ........................................................ 5、提供评估所必须的保障条件。 .................................................... 信息安全风险评估一、信息安全风险评估简介信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所

信息安全服务资质认证实施规则

信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心

ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则目录 1 适用范围 (2) 2 认证依据 (2) 3 术语与定义 (2) 3.1 信息安全服务 (2) 3.2 自评估 ...................................................................................................... 错误!未定义书签。 3.3 现场审核 (2) 3.4 非现场审核 (2) 3.5 现场见证 .................................................................................................. 错误!未定义书签。 3.6 特殊审核 (2) 4 审核人员及审核组要求 (2) 5 认证信息公开 (3) 6 认证程序 (3) 6.1 初次认证 (3) 6.1.1 认证申请 (3) 6.1.2 申请评审 (3) 6.1.3 建立审核方案 (4) 6.1.4 确定审核组 (5) 6.1.5 非现场审核 (5) 6.1.6 现场审核 (6) 6.1.7 现场见证（必要时） (7) 6.1.8 认证决定 (8) 6.1.9 证书颁发 (8) 6.2 监督审核 (8) 6.2.1 频次和方式 (8) 6.2.2 信息收集 (8) 6.2.3 信息评审与审核方案维护 (9) 6.2.4 制定审核计划 (9) 6.2.5 审核实施 (10) 6.2.6 监督审核结论 (10) 6.2.7 认证决定 (10) 6.2.8 审核方案记录与变更 (10) 6.3 特殊审核 (10) 6.3.1 变更或扩大认证范围 (10) 6.3.2 审核方案记录与变更 (11) 7 信息通报 (11) 8 认证证书管理 (11) 8.1 证书有效期 (11) 8.2 暂停认证证书 (12) 8.3 撤销认证证书 (12) 8.4 证书变更 (12)

信息安全风险评估实施报告..

1111单位:1111系统安全项目信息安全风险评估报告我们单位名

日期

报告编写人：日期：批准人：日期：版本号：第一版本第二版本终板日期日期

目录 1 概述 (5) 1.1 项目背景 (5) 1.2 工作法 (5) 1.3 评估围 (5) 1.4 基本信息 (6) 2 业务系统分析 (6) 2.1 业务系统职能 (6) 2.2 网络拓扑结构 (6) 2.3 边界数据流向 (6) 3 资产分析 (7) 3.1 信息资产分析 (7) 3.1.1 信息资产识别概述 (7)

3.1.2 信息资产识别 (7) 4 威胁分析 (8) 4.1 威胁分析概述 (8) 4.2 威胁分类 (10) 4.3 威胁主体 (10) 4.4 威胁识别 (11) 5 脆弱性分析 (12) 5.1 脆弱性分析概述 (12) 5.2 技术脆弱性分析 (13) 5.2.1 网络平台脆弱性分析 (13) 5.2.2 操作系统脆弱性分析 (13) 5.2.3 脆弱性扫描结果分析 (14) 5.2.3.1 扫描资产列表 (14) 5.2.3.2 高危漏洞分析 (15) 5.2.3.3 系统帐户分析 (15) 5.2.3.4 应用帐户分析 (15) 5.3 管理脆弱性分析 (15) 5.4 脆弱性识别 (17) 6 风险分析 (18) 6.1 风险分析概述 (18) 6.2 资产风险分布 (19) 6.3 资产风险列表 (19) 7 系统安全加固建议 (20) 7.1 管理类建议 (20) 7.2 技术类建议 (20) 7.2.1 安全措施 (20) 7.2.2 网络平台 (21) 7.2.3 操作系统 (22) 8 制定及确认.................................................. 错误!未定义书签。 9 附录A :脆弱性编号规则 (23)

信息安全服务资质CRCー二级初次认证流程【最新】

信息安全服务资质CRCー二级初次认证流程随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。关于认证申请: 认证的基本环节；认证申请与受理; 文档审核; 现场审核; 认证决定;

年度监督审核。初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括: 服务资质认证申请书; 独立法人资格证明材料; 从事信息安全服务的相关资质证明; 工作保密制度及相应组织监管体系的证明材料; 与信息安全风险评估服务人员签订的保密协议复印件;人员构成与素质证明材料; 公司组织结构证明材料; 具备固定办公场所的证明材料; 项目管理制度文档;

信息安全服务质量管理文件; 项目案例及业绩证明材料; 信息安全服务能力证明材料等。信息安全服务资质CRC(原i SCCC)ー、二级初次认证流程 1、准备阶段申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国网络安全审查技术与认证中心CCRC网站，下载《信息安全服务资质认证自评估表公共管理》、对应的技术自评估表、《信息安全服务资质认证申请 2.非现场审核及商务阶段 (此阶段工作在三周内完成,如需要申请组织补充材料,在五周内完成) 项目管理人员指派审查员对申请组织提交的材料进行非现场审核;审查员依据《信息安全服务规范》及相关技术标准,对申请组织所

提供的材料是否满足要求进行判定, 并填写《审核记录表》。如满足要求，审查员通知项目管理人员向申请组织出具《受理通知单》, 收取认证费用。如不满足要求,审查员开具《材料问题清单》,通知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审查员应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不具备申请资质的条件)。 3、现场审核阶段 (此阶段工作在四周内完成,如开具不符合项,在八周内完成) 项目管理人员指派审核组长( -般情况下指派对该组织材料进行非现场审核的审查员为组长) ,协调审查员组建审核组;审核组长编制《审核计划》, 准备现场审核的相关表格等材料,通过项目管理人员将《审核计划》发送给申请组织;审核组前往对申请组织开展现场审核工作,判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求,并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。如满足要求，审核组长编制《审核报告》, 并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定(如开具不符合项,审核组长则通知申请组织在一个月内提交整改材料) ; 如不满足要求(如在现场审核时发现申请组织存在材料造假

信息安全风险评估方案DOC

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

中国信息安全认证中心-信息安全服务资质认证流程图

信息安全服务资质认证流程图

流程说明： 1、自评估组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表，并实施自评估。 2、认证申请组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。 3、申请材料评审中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报资质类别和级别，签订认证合同。 4、现场评审认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。现场验证符合要求后，认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。 5、认证决定认证决定委员会由3名以上（含3名）奇数认证决定人员组成，作出认证决定。 6、证书颁发对于符合认证要求的申请组织，颁发认证证书，并予以公示。 7、证后监督（1）证后监督频次和方式对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。当获证组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。（2）证后监督内容监督评审除包括初次评审的内容外，还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。（3）证后监督结论

对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。（4）信息通报为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息： a)组织机构变更信息； b)安全事故、客户投诉信息； c)其他重要信息。

信息安全风险评估报告格式

附件：信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日