風(fēng)險評估服務(wù)
l服務(wù)簡介
風(fēng)險評估通過對信息及信息系統(tǒng)的重要性�����、面臨的威脅�、自身脆弱性以及當(dāng)前采取的安全措施有效性分析����,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件,以及其所造成的負(fù)面影響程度來識別安全風(fēng)險�����。根據(jù)系統(tǒng)的劃分和系統(tǒng)對業(yè)務(wù)戰(zhàn)略的影響確定信息系統(tǒng)的重要程度��,然后依據(jù)系統(tǒng)選定某項(xiàng)資產(chǎn)�、評估資產(chǎn)價值、評估資產(chǎn)存在的脆弱點(diǎn)��、評估資產(chǎn)面臨的威脅����、評估該資產(chǎn)的風(fēng)險���、進(jìn)而得出整個信息系統(tǒng)的安全風(fēng)險。
l服務(wù)內(nèi)容
本項(xiàng)目采用以下具體的工作方法來進(jìn)行資產(chǎn)識別����、威脅識別�����、脆弱性識別和安全措施確認(rèn)�,并進(jìn)行風(fēng)險分析,最終給出風(fēng)險評估報告及整改建議���。
?人員訪談
通過與客戶的交流和溝通���,安全技術(shù)專家可以從技術(shù)、管理����、策略等角度更深層次地了解客戶信息資產(chǎn)相關(guān)的安全要素,挖掘出信息資產(chǎn)背后的風(fēng)險�;
?文檔查閱
安全管理工程師通過對客戶信息資產(chǎn)相關(guān)的管理制度、規(guī)范��、技術(shù)文檔等的研究和剖析,發(fā)現(xiàn)信息系統(tǒng)中存在的邏輯上的脆弱點(diǎn)�����、威脅和風(fēng)險����;
?技術(shù)檢測
安全技術(shù)工程師按照各個系統(tǒng)的安全檢查列表對客戶信息資產(chǎn)中存在的安全脆弱點(diǎn)進(jìn)行檢測和評估,包括登錄查看�、漏洞掃描、威脅監(jiān)測和滲透測試等等�;
?專家分析
專家經(jīng)驗(yàn)在信息安全風(fēng)險評估中處于不可替代的關(guān)鍵地位,目前尚沒有成型的工具���、模型��、算法等可以將專家的經(jīng)驗(yàn)完全體現(xiàn)��,通過對客戶訪談���、工具掃描、人工評估�����、文檔信息挖掘等收集的資料的分析,安全技術(shù)專家會將自己的經(jīng)驗(yàn)體現(xiàn)于最終輸出����,形成風(fēng)險評估系列文檔。
