信息安全服务资质申请书(风险评估二级)

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

8.1 风险评估准备能力

本项包括以下要求：

1. 描述如何做好风险评估前期的准备的，包括是否建立了规范性文档，是

否配备了相应资源等；

2. 提供一份具体包含风险评估准备工作的规范，如风险评估实施规范，风

险评估实施方案等。

发布日期：2014年5月1日 第 29 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

表8－1

风险评估准备能力情况描述 制定的相关规范包括： 1. 发布日期：2014年5月1日 第 30 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

8.2 安全风险评估服务的实施能力

本项包括以下要求：

1. 描述风险服务过程的规范程度，包括是否建立了指导威胁评估、脆弱性

评估、影响评估、已有安全措施评估、风险评估的规范性文档，可制定一个文档，或多个文档；

2. 描述在具体项目中是如何进行威胁评估、脆弱性评估、影响评估、已有

安全措施评估、风险评估的；

3. 提供一份威胁评估、脆弱性评估、影响评估、已有安全措施评估、风险

评估的规范性文档。

发布日期：2014年5月1日 第 31 页 共 38 页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请书（风险评估二级）

表8－2

工程过程能力情况描述 制定的相关规范包括： 1. 发布日期：2014年5月1日 第 32 页 共 38 页