日期:2018-06-27 點擊: 關鍵詞:風險評估咨詢服務
已有安全措施確認
針對已識別的脆弱性確認已采取的安全措施,包括預防性安全措施和保護性安全措施,并進行記錄。
風險評估咨詢服務
風險計算
在完成資產分析、威脅可能性分析和脆弱性分析后,結合風險管理技術的思想,制定合理的風險計算方法,將對整體安全風險進行量化。為了得到跟系統實際情況更加符合的風險值,采用科學計算模型對以上得到的值進行數學擬合,結合多年來在信息安全體系建設中的經驗和對信息安全的全面理解,綜合安全威脅所涉及的資產價值及脆弱性嚴重程度,判斷安全事件造成的損失對組織的影響,得到最終風險值。
風險評價
根據估計的風險與給定的風險準則進行比較,得到確定的風險嚴重性。
風險處置
信息安全風險和事件不可能完全避免,關鍵在于如何控制、化解和規避。不計成本地追求零風險或試圖完全消滅風險、避免風險也是不可行的。通過開展信息安全風險評估工作,可以發現信息安全存在的主要問題和矛盾,找到解決問題的辦法,尋求一個最佳的平衡點,去化解風險,及早防范。
資產識別與分析
資產識別將涉及到評估范圍內所有有價值的資產,因為被評估單位信息系統內的信息資產數量較多、欄目繁多,為了更好的對被評估單位資產價值進行分析,對資產進行盡可能詳細的分類,從而有序的對評估資產進行組織。
威脅識別與分析
在威脅調研中主要采用調查問卷的方式實現,將得到的被評估單位所面臨威脅的描述,依據經驗和通用威脅參考標準進行賦值和等級劃分,最終得到被評估單位所面臨的威脅值。
脆弱性識別與分析
采用問卷調查、工具檢測、人工核查、文檔查閱、漏洞掃描、滲透性測試等方法,從技術和管理兩個方面進行識別,技術脆弱性涉及物理、網絡、系統、應用等各個層面的安全弱點。管理脆弱性主要涉及到信息組織結構、人員、制度、審批流程等事項進行脆弱性識別。
企業通訊
