一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性 进行识别的能力;具备跟踪、验证、挖掘信息安全漏洞的能力。
一、准备阶段
1.人员和工具管理
需采取相关措施, 保障工具管理的规范性。
二、风险识别阶段
1.资产识别
a) 识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b) 根据业务特点和业务流程识别出关键数据和关键服务。
c) 识别处理数据和提供服务所需的关键系统单元和关键系统组件。
2.威胁识别
采用多种方法进行威胁调查。
三、风险处置阶段
1.组织评审会
a) 协助被评估组织召开评审会。
b) 依据最终的评审意见进行相应的整改,形成最终的整改材料。
2.残余风险处置
a) 对组织提出完整的风险处置方案。
b) 必要时,对残余风险进行再评估。
