全国咨询电话

02389108633

关注官方微信

安全评估

        秉通精益安全评估服务参照国家及行业相关政策要求以及国内国际权威信息安全管理体系标准,根据客户需求和信息系统的实际情况,从信息资产、信息管理和网络构架三个方面制定实施相应的评估方案。秉通精益安全评估包括系统安全评估、网络安全评估,应用安全评估,数据安全评估,管理安全评估和全面的风险评估等多种方式,通过安全评估服务可以帮助您明确目前信息系统和业务面临着什么样的信息安全风险,同时在业务发展过程中可能会遇到什么安全问题?安全风险可能导致的损失是多少?当前主要的安全威胁是什么,应如何划分安全区域和安全建设的优先级等一系列问题。


        安全风险评估是对待评估对象的信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结该系统所面临的安全风险,为后续的安全规划和建设提供决策依据。秉通精益的安全风险评估内容简述如下:


      ※ 服务目标

        ■ 帮助组织明晰需要保护的信息资产,分析评估信息资产面临的各种风险,确定风险等级并最终确定风险控制的优先顺序。 


      ※ 服务过程

        ★ 组建风险评估小组,成员包括外部评估专家、组织的信息安全负责人、IT 代表、业务部门代表、管理层代表等;

        ★ 按照组织的业务运作流程来识别需要保护的信息资产,并根据估价原则对信息资产进行估价;主要方法为相关人员访谈,资料文档核查,系统业务分析等;

        ★ 弱点识别及评估,包括技术性弱点和非技术性弱点;主要方法是对物理设施,网络设施和架构,操作系统,业务应用,信息数据等进行工具扫描,手工检查,测试验证等技术手段。

        ★ 对可能存在的各项威胁进行识别和评估;

        ★ 利用既定的风险评估方法,结合资产、弱点和威胁三个要素,对已识别的风险进行评估,划分风险等级;

        ★ 识别并评估当前风险控制措施的有效性;

        ★ 建议风险处理措施和优先顺序。


      ※ 服务输入

        ●  当前的组织架构图;评估范围内所有的信息资产列表;

        ● 信息网络系统拓扑结构;

        ● 组织的业务构成,业务流程及运行方式;

        ● 现有的安全策略;

        ● 各种与安全管理相关的规章制度;

        ●  各种与安全管理相关的操作程序;

        ● 信息安全相关的记录(包括日志、事件处理记录等);

        ● 以往风险评估的结果;

        ● 其他需要提供的材料。


      ※ 服务输出

        输出风险评估报告,包括但不仅限于:

        ● 信息资产分析及评估报告;

        ● 威胁分析及评估报告;

        ● 弱点分析及评估报告;

        ● 控制措施评估报告;

        ● 风险等级划分;

        ● 安全建设方案或安全加固报告。


        最终的全面的风险评估是通过对资产、脆弱性和威胁性几个角度来综合评估分析系统面临的安全风险,对所发现风险提供相关的处理建议。

        在实践中,基于风险评估的风险管理方案是有效而实用的,进行风险评估准确“定位”组织的风险管理策略、实践和工具,并将安全活动的重点放在核心的安全漏洞上,选择成本效益合理和适用的安全对策,即风险管理是一个识别、控制、降低或消除安全风险的活动。