安全风险评估
信息安全风险评估 

      

相关政策

      安全风险评估是信息安全保障工作的基础和重要环节,《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)》、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见(国信办[2006]5号)》等相关文件都明确提出信息安全风险评估的必要性,及对信息安全风险评估工作的重视。

风险管理

      安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。风险评估工作贯穿信息系统整个生命周期,包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。

评估过程

◆资产识别与赋值:对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的损失大小,根据危害和损的大小为资产进行相对赋值;资产包括硬件、软件、服务、信息和人员等;
◆威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素;
◆脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值;
◆风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。
◆被评估单位可根据风险评估结果防范和化解信息安全风险,或者将风险控制在可接受的水平,为最大限度地保障网络和信息安全提供科学依据。

评估内容

信息安全服务综合国内外相关标准,展现信息系统当前的安全现状,为下一步控制和降低安全风险、改善安全现状、实施信息系统的风险管理提供决策依据。
◆主机安全评估:对主机的配置、服务进行安全评估
◆系统安全评估:对各类计算机系统(Windows、Linux等)的配置、服务和安全防护能力进行评估
◆网络安全评估: 对网络设备、网络服务、网络拓补以及Web应用等进行评估,得出评估报告
◆业务系统评估: 评估常见业务应用(ERP、OA、CRM等)系统

Copyright © 上海四叶草信息科技有限公司 版权所有    
地址:上海市普陀区长寿路587号1905-06室  邮箱:tianran@shdengbao.cn  电话:021-6195 1190