风险评估服务
l服务简介
风险评估通过对信息及信息系统的重要性、面临的威胁、自身脆弱性以及当前采取的安全措施有效性分析,判断脆弱性被威胁源利用后可能发生的安全事件,以及其所造成的负面影响程度来识别安全风险。根据系统的划分和系统对业务战略的影响确定信息系统的重要程度,然后依据系统选定某项资产、评估资产价值、评估资产存在的脆弱点、评估资产面临的威胁、评估该资产的风险、进而得出整个信息系统的安全风险。
l服务内容
本项目采用以下具体的工作方法来进行资产识别、威胁识别、脆弱性识别和安全措施确认,并进行风险分析,最终给出风险评估报告及整改建议。
Ø人员访谈
通过与客户的交流和沟通,安全技术专家可以从技术、管理、策略等角度更深层次地了解客户信息资产相关的安全要素,挖掘出信息资产背后的风险;
Ø文档查阅
安全管理工程师通过对客户信息资产相关的管理制度、规范、技术文档等的研究和剖析,发现信息系统中存在的逻辑上的脆弱点、威胁和风险;
Ø技术检测
安全技术工程师按照各个系统的安全检查列表对客户信息资产中存在的安全脆弱点进行检测和评估,包括登录查看、漏洞扫描、威胁监测和渗透测试等等;
Ø专家分析
专家经验在信息安全风险评估中处于不可替代的关键地位,目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现,通过对客户访谈、工具扫描、人工评估、文档信息挖掘等收集的资料的分析,安全技术专家会将自己的经验体现于最终输出,形成风险评估系列文档。
