日期:2018-06-27 點擊: 關(guān)鍵詞:風(fēng)險評估咨詢服務(wù)
已有安全措施確認
針對已識別的脆弱性確認已采取的安全措施,包括預(yù)防性安全措施和保護性安全措施,并進行記錄。
風(fēng)險評估咨詢服務(wù)
風(fēng)險計算
在完成資產(chǎn)分析、威脅可能性分析和脆弱性分析后,結(jié)合風(fēng)險管理技術(shù)的思想,制定合理的風(fēng)險計算方法,將對整體安全風(fēng)險進行量化。為了得到跟系統(tǒng)實際情況更加符合的風(fēng)險值,采用科學(xué)計算模型對以上得到的值進行數(shù)學(xué)擬合,結(jié)合多年來在信息安全體系建設(shè)中的經(jīng)驗和對信息安全的全面理解,綜合安全威脅所涉及的資產(chǎn)價值及脆弱性嚴重程度,判斷安全事件造成的損失對組織的影響,得到最終風(fēng)險值。
風(fēng)險評價
根據(jù)估計的風(fēng)險與給定的風(fēng)險準則進行比較,得到確定的風(fēng)險嚴重性。
風(fēng)險處置
信息安全風(fēng)險和事件不可能完全避免,關(guān)鍵在于如何控制、化解和規(guī)避。不計成本地追求零風(fēng)險或試圖完全消滅風(fēng)險、避免風(fēng)險也是不可行的。通過開展信息安全風(fēng)險評估工作,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾,找到解決問題的辦法,尋求一個最佳的平衡點,去化解風(fēng)險,及早防范。
資產(chǎn)識別與分析
資產(chǎn)識別將涉及到評估范圍內(nèi)所有有價值的資產(chǎn),因為被評估單位信息系統(tǒng)內(nèi)的信息資產(chǎn)數(shù)量較多、欄目繁多,為了更好的對被評估單位資產(chǎn)價值進行分析,對資產(chǎn)進行盡可能詳細的分類,從而有序的對評估資產(chǎn)進行組織。
威脅識別與分析
在威脅調(diào)研中主要采用調(diào)查問卷的方式實現(xiàn),將得到的被評估單位所面臨威脅的描述,依據(jù)經(jīng)驗和通用威脅參考標準進行賦值和等級劃分,最終得到被評估單位所面臨的威脅值。
脆弱性識別與分析
采用問卷調(diào)查、工具檢測、人工核查、文檔查閱、漏洞掃描、滲透性測試等方法,從技術(shù)和管理兩個方面進行識別,技術(shù)脆弱性涉及物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各個層面的安全弱點。管理脆弱性主要涉及到信息組織結(jié)構(gòu)、人員、制度、審批流程等事項進行脆弱性識別。
企業(yè)通訊