北京CCIA认证标准

安全集成服务资质简介。信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全的活动。

安全运维服务资质简介。通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。

ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。风险评估的过程包括：
*资产清查、分类与评价
*威胁与脆弱性分析
*对业务需求、法规需求的评估
*评估风险等级
*评估可接受之风险等级
*建议安全控制措施
风险评估的总结报告应该呈现给「信息安全」来评估处理风险的策略(移转、避免、降低或接受)，以及决定开始用的工具和办法。