风险评估类基本能力要求
基本能力的要求包括:技术能力要求,资源配置要求(包括人员构成与素质要求、设备、设施与环境要求),规模与资产要求和业绩要求。
申请信息安全服务(风险评估一级)资质的组织必须:
1、是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
2、必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
申请信息安全服务(风险评估一级)资质的组织应该:
1、具有从事信息安全风险评估服务的经验;
2、近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
申请信息安全服务(风险评估二级)资质的组织必须:
1、是具有独立法人地位的实体;
2、获得相关主管部门的批准;
3、遵守国家现行法律法规;
4、达到其他补充要求。
申请信息安全服务(风险评估二级)资质的组织应该:
1、从事信息安全服务行业3年以上;
2、注册资本应在500万元以上,资产总额在200万元以上;
3、近3年的财务状况良好;
4、从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定,拥有专职的注册信息安全专业人员(CISP)数量不少于从事安全风险评估服务专业技术人员的10%,但不得少于4人;
5、具有安全可靠的信息安全风险评估工具或设备;
6、近3年完成信息安全服务风险评估项目总值应在200万元以上。
7、根据国内外信息安全风险评估标准,形成完整的可执行的信息安全风险评估规范,用于指导具体的信息安全风险评估项目,包括评估方法、评估流程、评估步骤等等;
8、验证安全风险评估实施过程与规范的一致性;
9、通过可测量的计划跟踪过程的实施情况,当过程实施与计划产生重大偏离时应采取纠正措施。
申请单位的风险评估过程能力
应包括以下六项内容:
1、风险评估准备
2、评估系统对资产的影响;
3、评估系统存在的脆弱性;
4、评估系统面临的安全威胁;
5、评估系统已有的安全措施;
6、评估系统的安全风险。
|声明|
本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。本文章仅做分享使用,别无他意。另文章仅代表作者观点,不代表本官网立场,如涉及到版权问题,请及时和我们联系删除,感恩,感谢。
