安全评估服务 - 价值
避免业务安全隐患:技术层面定性的分析系统的安全性,网络风险评估服务方案,串联系统安全隐患点,有效验证其存在性及其可利用程度,避免因安全漏洞造成业务损失。
**规划的合理和可行:正确反映各风险对信息安全的不同影响,企业网络风险评估服务方案,使规划的结果更合理**,金融行业网络风险评估服务方案,使在 此基础上**的计划具有现实的可行性。
选择较佳的风险对策组合:风险对策会付出一定代价,需将不同风险对策的适用性与不同风险的后果 结合考虑,使不同风险选择适宜的风险对策,形成佳风险对策组合。
安全评估服务 - 流程介绍
准备阶段:
1、确定评估范围:提出信息系统的目的、需求、规模和安全要求。
2、建立评估组织架构:责任人及编制信息安全评估方案及计划。
3、项目启动会议:讲解方案计划明晰责任及流程,自动化网络风险评估服务方案,输出会议纪要。
输出成果:《安全风险评估评估组织》、《保密协议书》、《信息安全风险评估方案与计划》、《安全风险评估工作启动会议纪要》等
资产识别:
1、资产收集:业务应用、文档和数据(网络拓扑、资产台账、相关文档及数据)、软硬件资产、物理环境(机房)、组织管理(规章制度);
2、区分资产重要性:结合业务情况及实际依赖程度区分重要资产与非重要资产;
3、重要资产估值与确认。
输出成果:《资产识别表》、《重要资产估值表》等。
脆弱性威胁评估:
1、脆弱性评估:1)技术性弱点、2)操作性弱点、3)管理性弱点;
2、威胁评估:1)人员威胁、2)系统威胁、3)环境威胁、4)自然威胁;
输出成果:《脆弱性、威胁、风险分析表》、《潜伏威胁评估表》。
防护能力评估:
通过访谈途径识别现有的安全措施并评估其效力。**分析场景:
1、漏洞利用防护;
2、身份认证;
3、监控审计;
4、应急备份;
5、其他。
输出成果:《防护能力评估表》。
风险分析:
1、风险分析方法;
2、风险等级划分;
3、不可接受风险划分;
4、风险统计。
输出成果:《脆弱性、威胁、风险分析表》。
风险处置:
针对不可接受风险提出相应的整改方案及计划完成时间。
输出成果:《安全风险评估报告》、《安全风险评估工作总结会议纪要》。
安全评估服务——安全评估流程
主要分为线上评估实施、数据分析整理、风险评估报告撰写三个阶段:
线上评估:本阶段主要完成线上评估工作的实施,即通过资产调查、安全基线扫描、漏洞扫描、人员访谈等方式,了解业务系统的安全现状,为风险分析提供资料。现状评估阶段主要的工作任务包括人员访谈、安全基线扫描、漏洞扫描等。
数据分析:本阶段主要对现场评估阶段采集的数据进行分析、整理,为风险评估报告的撰写提供依据。
报告撰写:本阶段主要完成风险评估报告的撰写、修订。根据数据分析的结果撰写评估报告,并针对业务系统存在的安全风险、安全隐患提供修复建议。与负责人进行沟通,对评估报告进行修订。
输出结果:《安全评估报告》