信息安全风险评估服务资质二级专业评价要求

二级要求

组织申报二级资质，除满足三级能力要求外，还应满足以下要求：

申请二级资质认证的单位，针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力；具备跟踪、验证信 息安全漏洞的能力。

一、准备阶段

1.服务方案制定

a) 应进行充分的系统调研，形成调研报告。

b) 宜根据风险评估目标以及调研结果，确定评估依据和评估方法。

c) 应形成较为完整的风险评估实施方案。

2. 人员和工具管理

需采取相关措施，保障工具自身的安全性、适用性。

二、风险识别阶段

1.威胁识别

应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。

三、风险分析阶段

1.风险分析模型建立

构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。

2.风险计算方法确定

在风险计算时应根据实际情况选择定性计算方法或定量计算方法。

3.风险评价

应对不同等级的安全风险进行统计、评价，形成zui终的总体安全评价。

4.风险评估报告

a) 风险评估报告中应对本次评估建立的风险分析模型进行说明，并应阐明本次评估采用的风险计算方法及风险评价方法。

b) 风险评估报告中应对计算分析出的风险给予比较详细的说明。

四、风险处置阶段

1.风险处置原则确定

应协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。

2.安全整改建议

对组织不可接受的风险提出风险处置措施。