注册微创客 • 个人创业
资质政策
风险评估服务资质认证需要注意哪些问题
我国信息化和信息安全保障工作在不断的迅速发展,而加强规范信息安全服务资质已成为信息安全管理的重要工作。那么信息安全风险评估服务资质认证需要注意哪些问题呢,下面,我们一起来看看吧。
资质申请的前提条件:
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
资质申请的几大要素:
信息安全服务资质申请要素之一:人
1. 企业对外提供的信息安全服务依赖人来完成,必须要有合适的技术带头人,技 术带头 人需要对信息安全的含义、如何确保信息安全有较为深刻的理解和认识需要在组织内部建立信息安全服务职能部门的岗位职责、任职资格、评价机制,并按照上述原则对信息安全服务人员进行能力考核、认定、评价
2.资质申请人员能力培训:信息安全保障人员CISAW(辅助资质申请和项目投标人员加分项)信息安全保障人员分:安全集成 安全运维 风险管理 应急服务、安全软件
CISAW安全集成课程大纲 :
信息系统安全工程概述、安全集成实施、安全的集成模式和集成的安全模式、 安全技术应用
CISAW风险管理课程大纲 :
风险管理基本概念和相关标准、项目准备和风险识别、风险分析和评价、风险处置与监控、技术脆弱性识别与管理脆弱性识别
CISAW应急管理课程大纲 :
应急管理体系建立、电子商务系统黑客破坏场景重现与企业应急响应过程重现、应急服务中的渗透测试实践、应急响应实战案例分析与沙盘演练、应急响应与安全事件处置、应急预案制定和实施
CISAW安全运维课程大纲 :
安全运维体系、合规要求、安全策略、运维准备和实施、运维安全、评审及改进
CISAW安全软件课程大纲 :
软件安全概述和模型、安全漏洞管理、安全功能设计、软件安全测试、软件安全编码实践
信息安全服务资质风险评估申请要素之二:什么是风险评估
• 依据国际或国家标准中明确的风险计算模型,来对所评估对象目前所存在的信息安全风险进行分析的服务过程
• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段
• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法
• 服务过程往往需要依靠专业检测工具来辅助
信息安全服务资质风险评估申请要素之三:企业类型
• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织
• 希望作为中立的第三方,向需求方提供服务的组织
信息安全服务资质申请要素之四:风险评估工具
基于技术的工具:
1.扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析
2.系统的常见漏洞;
3.入侵检测系统(IDS):用于收集与统计威胁数据;
4.渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层
5.次漏洞;
6.主机安全性审计工具:用于分析主机系统配置的安全性
信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标
信息安全服务资质申请要素之五:公共管理和项目要求
1. 公共管理包含; 法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等
2. 项目说明:
Ø 在信息安全管理体系中涉及到了风险评估的相关概念,在信息安全服务资质也涉及到了风险评估,两者在能力要求和方法论上是一致的
Ø 具备跟踪、验证信息安全漏洞的能力。
Ø 三级:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。
Ø 二级:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 息安全漏洞的能力
服务详情:风险评估服务资质认证
上一篇文章:
变更公司经营范围需要什么材料 多久才能变更?
下一篇文章:
企业申请CS资质需要满足什么条件?
