CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国网络安全审查技术与认证中心 制 第 1 页 共 9 页 信息安全风险评估服务资质认证自评估表 组织名称 申报级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 2. 制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规范。 3. 基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。 4. 仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。 信 息 安 全 风 险 评 估 服 务 资 质 认 证 自 评 估 表 --第 1页信 息 安 全 风 险 评 估 服 务 资 质 认 证 自 评 估 表 --第 1页CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国网络安全审查技术与认证中心 制 第 2 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 5. 仅一级要求:能够在全国范围内,针对5 个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5 个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。 6. 仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料 7. 仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料 8. 仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。 9. 准备阶段-服务方 案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。 10. 应为风险评估实施...
