風險評估服務
l服務簡介
風險評估通過對信息及信息系統(tǒng)的重要性、面臨的威脅、自身脆弱性以及當前采取的安全措施有效性分析,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件,以及其所造成的負面影響程度來識別安全風險。根據(jù)系統(tǒng)的劃分和系統(tǒng)對業(yè)務戰(zhàn)略的影響確定信息系統(tǒng)的重要程度,然后依據(jù)系統(tǒng)選定某項資產(chǎn)、評估資產(chǎn)價值、評估資產(chǎn)存在的脆弱點、評估資產(chǎn)面臨的威脅、評估該資產(chǎn)的風險、進而得出整個信息系統(tǒng)的安全風險。
l服務內(nèi)容
本項目采用以下具體的工作方法來進行資產(chǎn)識別、威脅識別、脆弱性識別和安全措施確認,并進行風險分析,最終給出風險評估報告及整改建議。
?人員訪談
通過與客戶的交流和溝通,安全技術(shù)專家可以從技術(shù)、管理、策略等角度更深層次地了解客戶信息資產(chǎn)相關(guān)的安全要素,挖掘出信息資產(chǎn)背后的風險;
?文檔查閱
安全管理工程師通過對客戶信息資產(chǎn)相關(guān)的管理制度、規(guī)范、技術(shù)文檔等的研究和剖析,發(fā)現(xiàn)信息系統(tǒng)中存在的邏輯上的脆弱點、威脅和風險;
?技術(shù)檢測
安全技術(shù)工程師按照各個系統(tǒng)的安全檢查列表對客戶信息資產(chǎn)中存在的安全脆弱點進行檢測和評估,包括登錄查看、漏洞掃描、威脅監(jiān)測和滲透測試等等;
?專家分析
專家經(jīng)驗在信息安全風險評估中處于不可替代的關(guān)鍵地位,目前尚沒有成型的工具、模型、算法等可以將專家的經(jīng)驗完全體現(xiàn),通過對客戶訪談、工具掃描、人工評估、文檔信息挖掘等收集的資料的分析,安全技術(shù)專家會將自己的經(jīng)驗體現(xiàn)于最終輸出,形成風險評估系列文檔。
