信息安全評估
服務說明
風險評估有時候也稱為風險分析,是組織使用適當?shù)娘L險評估工具,依據(jù)國內(nèi)外有關信息安全相關標準,對信息和信息處理設施的威脅(Threat)、影響(Impact)和薄弱點(Vulnerability)及其發(fā)生的可能性的評估,包括信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程,從信息資產(chǎn)、信息系統(tǒng)、業(yè)務流程等多個維度,評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響,并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。風險評估是信息安全管理的基礎,它為安全管理的后續(xù)工作提供方向和依據(jù),后續(xù)工作的優(yōu)先等級和關注程度都是由信息安全風險決定的,而且安全控制的效果也必須通過對剩余風險的評估來衡量。
意義
▽風險評估服務可幫助企業(yè)或組織了解自身網(wǎng)絡信息系統(tǒng)的安全狀況;
▽通過資產(chǎn)重要性分析明確需要重點保護的資產(chǎn)信息;
▽通過系統(tǒng)弱點分析、威脅分析、安全措施的有效性分析確定各項資產(chǎn)所面臨的真實安全威脅問題;
▽由于風險評估的流程復雜、技術難度大、歷時久、周期長等問題,嚴重困擾著行業(yè)企業(yè)或組織風險評估工作的實施;
實施步驟
▽計劃和準備(組織在正式進行風險評估之前,應該制定一個有效的風險評估計劃,明確風險評估的目標,限定評估的范圍,建立相關的組織結構并委派責任,并采取有效措施來采集風險評估所需的信息和數(shù)據(jù))
▽風險評估行動計劃
▽人員訪談
▽調(diào)查問卷
▽文件審核
▽以前的審計和評估結果
▽對外部案例和場景的分析
▽現(xiàn)場勘查(通過以上服務過程采集的信息,可以供風險評估各個階段的活動分析使用,包括資產(chǎn)識別與評價、威脅評估、弱點評估等)
上一篇:局域網(wǎng)安全服務
下一篇:無