CCRC之信息安全应急处理服务资质

4、公共管理和项目要求

（1） 公共管理包含；法律地位、财务资信、办公场所、人员要求、服务管理要求（人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理，体系建设要求），技术工具要求等。

（2） 项目说明：

在信息安全管理体系中涉及到了风险评估的相关概念，在信息安全服务资质也涉及了风险评估，两者在能力要求和方法论上是一致的。

具备跟踪、验证信息安全漏洞的能力。

三级：至少有一个完成的风险评估项目，该系统的用户数在1，000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。

二级：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10，000以上；具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 信息安全漏洞的能力。

第四：信息安全应急处理服务资质

1、应急处理的几个阶段

2、什么是应急处理项目

（1）尽量选择真实发生的安全事件的应急而不是应急演练类项目；

（2） 选择的案例尽量是网络信息安全类事件的应急；

（3） 尽量不选择预防性的应急案例，这种案例一般不能很好体现应急事件的临场分析、处置能力。