风险评估项目评分标准.doc

风险评估项目评分标准.doc骨口. 序号
技术要点
功能项
1
公司概况（4）
2
资质许可（5）
3
行业经验（5）
r 4
对前海重视度（2）「
5
总体要求（20）
评估范围
6
评估要求
（35）
评估过程
交付件
保密性
7
项目实施方案（10）
8
服务承诺（20）
具体功能
分值
要求服务提供商注册资金在500万元以上
2 ~
在XX）城市有办事机构和常驻服务人员
2
具有中国信息安全产品测评认证中心颁发的《信息安全服务资质证书》安全丄程类壹级 （含）以上资质。
5
公司从事信息安全不少于5年，并具有风险评估的项目经验
2 :
项目经理应有10年以上IT工作经验，5年以上信息安全工作经验
3
主要从投标文件以及讲标的准备是否充分考虑。
2「
要求服务提供商列岀详细的工作内容
3
要求服务提供商在项目过程中方面，能够结合甲方的现状，以及业界先进的 IT安全服务
经验、方法和最佳实践，进行项目实施。
4
要求服务提供商能够全面、深入地了解项目范围内的关键业务，合理制定风险评估的测 试计划、测试方案，充分利用业界领先的测试工具完成评估执行和报告工作，评估的结 果能够促进业务安全的提升。
4
要求服务提供商在整个项目的管理能力方面，能够对项目的工作范围、时间进度、整体 质量有全面有效的管理，能够制定岀适合项目自身特点的项目管理规范和流程，并严格 执行，能够与项目中的各参与方建立起有效的沟通机制，能够从全局岀发，保证项目的
4
要求服务提供商对评估中发现问题能够提供加固与改进建议，并能够对改进结果进行跟
5
踪络层：主要指网络信息的安全性，包括网络的健壮性，网络层身份认证，网络资源的 访问控制，数据传输的保密与完整性，远程接入，域名系统，路由系统的安全，入侵检
3
主机层：主要指运行的操作系统的安全性，包括 UNIX系列、Linux系列、Windows系列以
及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要 包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。
3
应用层：主要指用户提供服务所采用的应用软件的安全性，包括两个方面，一方面是应 用系统自身的安全，比如应用系统存在的漏洞、不必要的服务或端口等，另一方面是应 用系统的安全配置存在的问题。
3
数据层：主要指各种应用产生的信息数据，包括文档信息的泄漏、数据库系统漏洞和安 全配置、信息数据的备份、恢复和