风险评估
由兴先道信息安全团队高级安全顾问和咨询专家共同组成的评估团队,依据《信息安全技术 信息安全风险评估规范》,从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
→ 安全技术:网络层安全、主机系统层安全、应用层安全、数据安全。
→ 安全管理:安全管理组织机构:安全管理制度、人员安全管理、系统建设管理、系统运维管理、物理安全。
→ 资产分析----由评估人员在委托单位现场根据调查内容获取并分析信息系统资产。
→ 工具测试----由评估人员采用自动化工具对被评估系统进行漏洞检测。
→ 专家访谈----由评估人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈调研。
→ 资料审阅----查阅信息系统建设、运维过程中的过程文档、记录,采用分时段系统查阅和有针对性抽样查阅的方法进行。
向客户提交《信息系统安全风险评估报告》,帮助客户明确当前网络和系统安全现状及安全需求,对可能受到威胁影响的资产确定其价值、敏感性和严重性以及相应的级别;确定可能对资产造成的威胁以及最重要的、最敏感的资产一旦威胁发生所造成的损失。
