日期:2018-06-27 点击: 关键词:风险评估咨询服务
已有安全措施确认
针对已识别的脆弱性确认已采取的安全措施,包括预防性安全措施和保护性安全措施,并进行记录。
风险评估咨询服务
风险计算
在完成资产分析、威胁可能性分析和脆弱性分析后,结合风险管理技术的思想,制定合理的风险计算方法,将对整体安全风险进行量化。为了得到跟系统实际情况更加符合的风险值,采用科学计算模型对以上得到的值进行数学拟合,结合多年来在信息安全体系建设中的经验和对信息安全的全面理解,综合安全威胁所涉及的资产价值及脆弱性严重程度,判断安全事件造成的损失对组织的影响,得到最终风险值。
风险评价
根据估计的风险与给定的风险准则进行比较,得到确定的风险严重性。
风险处置
信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决问题的办法,寻求一个最佳的平衡点,去化解风险,及早防范。
资产识别与分析
资产识别将涉及到评估范围内所有有价值的资产,因为被评估单位信息系统内的信息资产数量较多、栏目繁多,为了更好的对被评估单位资产价值进行分析,对资产进行尽可能详细的分类,从而有序的对评估资产进行组织。
威胁识别与分析
在威胁调研中主要采用调查问卷的方式实现,将得到的被评估单位所面临威胁的描述,依据经验和通用威胁参考标准进行赋值和等级划分,最终得到被评估单位所面临的威胁值。
脆弱性识别与分析
采用问卷调查、工具检测、人工核查、文档查阅、漏洞扫描、渗透性测试等方法,从技术和管理两个方面进行识别,技术脆弱性涉及物理、网络、系统、应用等各个层面的安全弱点。管理脆弱性主要涉及到信息组织结构、人员、制度、审批流程等事项进行脆弱性识别。
企业通讯
