主頁 >

信息安全風險評估

服務內容
依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的信息的保密性、完整性和可用性等安全屬性進行評價的過程,評估資產面臨的威脅以及威脅利用脆弱性導致安全事情的可能性,并結合安全事件所涉及的資產價值判斷安全事件一旦發生對組織造成的影響。提出有針對性地抵御威脅的防護對策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平,最大限度地保障信息安全提供科學依據。
評估依據
  • 1.GB/T 20984-2007 信息安全技術 信息安全風險評估規范
參考依據
  • 1.GB/T 18336.1-2015 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型
  • 2.GB/T 18336.2-2015 信息技術 安全技術 信息技術安全性評估準則 第2部分:安全功能要求
  • 3.GB/T 18336.3-2008 信息技術 安全技術 信息技術安全性評估準則 第3部分:安全保證要求
評估內容
  • 1.通過網絡弱點檢測,識別信息系統在技術層面存在的安全弱點。
  • 2.通過采集本地安全信息,獲得目前操作系統安全、網絡設備、各種安全管理、安全控制、人員、安全策略、應用系統、業務系統等方面的信息,并進行相應的分析。
  • 3.通過對組織的人員、制度等相關安全管理措施的分析,了解組織現有的信息安全管理狀況。
  • 4.通過對以上各種安全風險的分析和匯總,形成組織安全風險評估報告。根據組織安全風險評估報告和安全現狀,提出相應的安全建議,指導下一步的信息安全建設。
評估原則
  • 1.標準化原則:嚴格依據國家和行業的相關法規、標準,并參考國際的標準來實施。
  • 2.規范性原則:在人員、質量和時間進度等方面進行規范化管控
  • 3.保密性原則:在進行信息安全評估的過程中,將嚴格遵守保密原則,不泄露關于本項目任何敏感信息給第三方單位或個人,不利用這些信息損害用戶利益。
  • 4.完整性原則:評估過程中將堅持完整的評估內容和完整的評估流程
  • 5.互動性原則:在本次風險評估過程中,支持受評估方的互動參與,保證評估的效果并提高受評估方的安全技能和安全意識
  • 6.最小影響原則:考慮評估對目標系統的正常運行可能產生的不利影響,將風險降到最低,保證目標系統業務正常運行
評估流程
北京pk10预测专家