风险评估服务内容
依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》规定的评估步骤和评估流程,通过系统调查、资产分析、威胁分析、脆弱性测试、安全功能测试、安全管理检查、体系结构分析、安全措施分析、风险分析、安全建议等环节,对客户信息系统的资产价值、面临潜在威胁、存在的薄弱环节、已采取的防护措施等进行分析,从技术和管理两个层面综合判断信息系统面临的风险。
1)检查企业相关制度文档
检查企业相关制度文档,发现企业管理、流程等存在的安全问题。
2)风险评估服务内容
风险评估服务包含渗透测试、基线检查、漏洞扫描、安全访谈等内容。
3)基线检查
通过基线检查,发现企业网络、主机、系统、应用等存在的错误配置、不符合项、弱口令等问题。
4)渗透测试
通过渗透测试,发现企业网络、主机、系统、应用等存在的安全隐患。
5)漏洞扫描
通过漏洞扫描,发现企业网络、主机、系统、应用等存在的安全漏洞。
6)交付内容
提供专业的安全评估报告。
风险评估作用
全面梳理资产状况。明确各类资产具备的保护价值和保护层次,从而更合理的利用现有资产进行资产管理,更有针对性的进行资产保护和新的资产投入。
确定威胁主题和客体。明确信息系统所面临的威胁及威胁被利用的可能性,识别出威胁由谁或什么事物引发,以及威胁影响的资产是什么,即确认威胁的主体和客体。
资产脆弱性发现。包含管理体系评估和技术体系评估,通过网络结构分析、网络异常流量分析、日志审计、配置核查、攻击扫描、渗透测试等手段、发现资产的脆弱性。
为未来信息安全建设规划和投入提供依据,依据完善的风险评估报告,明确信息安全建设需求,制定信息系统的安全策略和风险解决方案,为下一步安全建设规划和投入提供依据。
通过风险评估,可以全面、完整的了解客户信息系统的安全状况,发现当前存在的安全隐患,并且提出相应的安全建议,结合等级保护工作,配合单位进行整改。
风险评估实施流程
