風險評估服務
l服務簡介
風險評估通過對信息及信息系統的重要性、面臨的威脅、自身脆弱性以及當前采取的安全措施有效性分析,判斷脆弱性被威脅源利用后可能發生的安全事件,以及其所造成的負面影響程度來識別安全風險。根據系統的劃分和系統對業務戰略的影響確定信息系統的重要程度,然后依據系統選定某項資產、評估資產價值、評估資產存在的脆弱點、評估資產面臨的威脅、評估該資產的風險、進而得出整個信息系統的安全風險。
l服務內容
本項目采用以下具體的工作方法來進行資產識別、威脅識別、脆弱性識別和安全措施確認,并進行風險分析,最終給出風險評估報告及整改建議。
?人員訪談
通過與客戶的交流和溝通,安全技術專家可以從技術、管理、策略等角度更深層次地了解客戶信息資產相關的安全要素,挖掘出信息資產背后的風險;
?文檔查閱
安全管理工程師通過對客戶信息資產相關的管理制度、規范、技術文檔等的研究和剖析,發現信息系統中存在的邏輯上的脆弱點、威脅和風險;
?技術檢測
安全技術工程師按照各個系統的安全檢查列表對客戶信息資產中存在的安全脆弱點進行檢測和評估,包括登錄查看、漏洞掃描、威脅監測和滲透測試等等;
?專家分析
專家經驗在信息安全風險評估中處于不可替代的關鍵地位,目前尚沒有成型的工具、模型、算法等可以將專家的經驗完全體現,通過對客戶訪談、工具掃描、人工評估、文檔信息挖掘等收集的資料的分析,安全技術專家會將自己的經驗體現于最終輸出,形成風險評估系列文檔。
