風(fēng)險評估服務(wù)
l服務(wù)簡介
風(fēng)險評估通過對信息及信息系統(tǒng)的重要性、面臨的威脅�����、自身脆弱性以及當(dāng)前采取的安全措施有效性分析,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件���,以及其所造成的負(fù)面影響程度來識別安全風(fēng)險�。根據(jù)系統(tǒng)的劃分和系統(tǒng)對業(yè)務(wù)戰(zhàn)略的影響確定信息系統(tǒng)的重要程度,然后依據(jù)系統(tǒng)選定某項資產(chǎn)�、評估資產(chǎn)價值、評估資產(chǎn)存在的脆弱點����、評估資產(chǎn)面臨的威脅、評估該資產(chǎn)的風(fēng)險�、進而得出整個信息系統(tǒng)的安全風(fēng)險。
l服務(wù)內(nèi)容
本項目采用以下具體的工作方法來進行資產(chǎn)識別����、威脅識別、脆弱性識別和安全措施確認(rèn)�,并進行風(fēng)險分析,最終給出風(fēng)險評估報告及整改建議�����。
?人員訪談
通過與客戶的交流和溝通�����,安全技術(shù)專家可以從技術(shù)�����、管理、策略等角度更深層次地了解客戶信息資產(chǎn)相關(guān)的安全要素�,挖掘出信息資產(chǎn)背后的風(fēng)險;
?文檔查閱
安全管理工程師通過對客戶信息資產(chǎn)相關(guān)的管理制度��、規(guī)范�、技術(shù)文檔等的研究和剖析���,發(fā)現(xiàn)信息系統(tǒng)中存在的邏輯上的脆弱點����、威脅和風(fēng)險�;
?技術(shù)檢測
安全技術(shù)工程師按照各個系統(tǒng)的安全檢查列表對客戶信息資產(chǎn)中存在的安全脆弱點進行檢測和評估,包括登錄查看�����、漏洞掃描���、威脅監(jiān)測和滲透測試等等�;
?專家分析
專家經(jīng)驗在信息安全風(fēng)險評估中處于不可替代的關(guān)鍵地位����,目前尚沒有成型的工具�、模型�、算法等可以將專家的經(jīng)驗完全體現(xiàn),通過對客戶訪談��、工具掃描�����、人工評估�、文檔信息挖掘等收集的資料的分析,安全技術(shù)專家會將自己的經(jīng)驗體現(xiàn)于最終輸出����,形成風(fēng)險評估系列文檔。
