信息系统 风险评估

在我们开始之前

服务背景

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,网络安全问题受到普遍关注。运用风险评估去识别安全风险,解决网络安全问题得到了广泛的认识和应用。在当今这个全民互联网时代,网络安全是每个组织都应该重视的事情。要知道信息系统一旦被黑客攻下,那么带来的损失是无法估量的。因此做好信息系统风险评估的工作是非常有必要的。

服务内容

依据有关网络安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

准备工作

确定评估范围
确定评估目标
建立组织机构
建立评估方法

资产评价

资产定义
资产分类
资产赋值

威胁分析

威胁定义
威胁分类
威胁赋值

弱点分析

弱点定义
弱点分类
弱点赋值

风险评价

记录评价结果
确定残余风险
选择控制措施
定义风险等级

评估方法

现场调研

配置核查

员工访谈

工具扫描

文档审核

人工审核

服务价值

明晰风险现状

根据国家标准和相关规范进行安全评估,细粒度的风险评估,协助组织弄清楚当前网络资产现状和存在风险

明确发展路径

协助组织明确网络安全工作的发展路径,知之后能安,避免盲人摸象,协助信息管理者安全决策和调整,制定总体安全措施,控制网络安全隐患

安全合规建设

按照网络安全等级防护理念,优化信息化建设资源配置,合理设置网络安全建设目标,合理分配利用网络安全投资

服务优势

持续跟踪网络安全
等级保护制度和标准规范

服务团队以总书记网络强国战略思想为指引,持续跟踪研究网络安全等级保护制度和相关标准规范,对网络安全等保1.0向2.0的升级有深刻理解。

参与北京重点区县网络安全
等级保护检查工作

服务团队协助北京某重点区县进行网络安全等级保护检查工作,向被检查单位提供等保定级咨询和技术咨询,指导未定级备案信息系统进行合规建设。

参与过不同类型信息系统
等保合规建设工作

服务团队参与过众多不同类型信息系统的等保合规建设工作,对信息系统初步设计进行等保合规指导,熟悉等保定级、备案、整改、测评等各阶段工作。