風(fēng)險(xiǎn)評(píng)估服務(wù)
l服務(wù)簡(jiǎn)介
風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)信息及信息系統(tǒng)的重要性、面臨的威脅、自身脆弱性以及當(dāng)前采取的安全措施有效性分析,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件,以及其所造成的負(fù)面影響程度來(lái)識(shí)別安全風(fēng)險(xiǎn)。根據(jù)系統(tǒng)的劃分和系統(tǒng)對(duì)業(yè)務(wù)戰(zhàn)略的影響確定信息系統(tǒng)的重要程度,然后依據(jù)系統(tǒng)選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、評(píng)估資產(chǎn)存在的脆弱點(diǎn)、評(píng)估資產(chǎn)面臨的威脅、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)信息系統(tǒng)的安全風(fēng)險(xiǎn)。
l服務(wù)內(nèi)容
本項(xiàng)目采用以下具體的工作方法來(lái)進(jìn)行資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和安全措施確認(rèn),并進(jìn)行風(fēng)險(xiǎn)分析,最終給出風(fēng)險(xiǎn)評(píng)估報(bào)告及整改建議。
?人員訪(fǎng)談
通過(guò)與客戶(hù)的交流和溝通,安全技術(shù)專(zhuān)家可以從技術(shù)、管理、策略等角度更深層次地了解客戶(hù)信息資產(chǎn)相關(guān)的安全要素,挖掘出信息資產(chǎn)背后的風(fēng)險(xiǎn);
?文檔查閱
安全管理工程師通過(guò)對(duì)客戶(hù)信息資產(chǎn)相關(guān)的管理制度、規(guī)范、技術(shù)文檔等的研究和剖析,發(fā)現(xiàn)信息系統(tǒng)中存在的邏輯上的脆弱點(diǎn)、威脅和風(fēng)險(xiǎn);
?技術(shù)檢測(cè)
安全技術(shù)工程師按照各個(gè)系統(tǒng)的安全檢查列表對(duì)客戶(hù)信息資產(chǎn)中存在的安全脆弱點(diǎn)進(jìn)行檢測(cè)和評(píng)估,包括登錄查看、漏洞掃描、威脅監(jiān)測(cè)和滲透測(cè)試等等;
?專(zhuān)家分析
專(zhuān)家經(jīng)驗(yàn)在信息安全風(fēng)險(xiǎn)評(píng)估中處于不可替代的關(guān)鍵地位,目前尚沒(méi)有成型的工具、模型、算法等可以將專(zhuān)家的經(jīng)驗(yàn)完全體現(xiàn),通過(guò)對(duì)客戶(hù)訪(fǎng)談、工具掃描、人工評(píng)估、文檔信息挖掘等收集的資料的分析,安全技術(shù)專(zhuān)家會(huì)將自己的經(jīng)驗(yàn)體現(xiàn)于最終輸出,形成風(fēng)險(xiǎn)評(píng)估系列文檔。
