简介

信息安全风险评估服务

阅读 8  ·  发布日期 2018-05-03 15:19:19

信息系统的风险分析与评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。即对威胁、脆弱点以及可能的风险对资产或组织所带来的影响程度的评估。 所谓威胁就是对资产或组织造成损害的故事的原因,而弱点是指资产或组织中能被威胁所利用的弱点,风险就是特定的威胁利用资产的一种或一组脆弱点,导致资产的丢失或损害的潜在的可能性。

标签 风险评估 安全漏洞
详细内容

信息安全风险评估服务

风险评估的目的就是帮助企业了解系统目前和未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,降低风险带来的损失;也为企业制定安全策略、建设和维护信息系统提供有力的依据。同时通过第三方的权威评估,也会让企业的客户提高对该企业所提供的信息技术产品和系统可靠性的信心,增强企业及其产品的竞争力。

风险评估流程:

1521436702735643.bmp

风险评估内容:

    1、资产识别

资产识别是对客户有价值的事物进行确认,包括软、硬件资产进行梳理和确认,资产识别包括以下对象:

1521437698367192.jpg

    2、威胁识别

威胁识别是对资产或组织可能受到的侵的事故的潜在原因进行划分和确认。

1521437698510110.jpg

    3、脆弱性识别

脆弱性识别是指资产或资产组中能被威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。

1521437698243080.jpg

    4、已有安全措施确认

分别从管理性、操作性和技术性分别对系统的开发、维护和使用实施管理的措施,包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等,以及用来保护系统和应用操作的流程和机制(如:人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等),确认信息系统中已采取的身份识别与认证、逻辑访问控制、日志审计、加密等技术措施。3.3.2.4 已有安全措施确认

    5、 风险值的计算和定级

风险计算的过程对上一阶段识别和赋值的资产、威胁和脆弱性进行分析计算,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。

风险指信息资产包括数据、业务系统、软硬件系统、人员及服务等的风险,为特定的威胁利用信息资产的一种或一组脆弱性,导致信息资产产生损害的潜在可能性。

按照风险值=资产价值×威胁影响×威胁可能性×资产弱点等级的思路,开展系统风险值评估,结合客观分析与专家经验,得出该资产面临的整体风险。

    6、风险结果判定和处理

为了实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为五级,等级越高、风险越高。

风险评估专家依据风险评估的计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每一个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。

在关注成本与风险的平衡,采用规避、转移、降低和接受的方式来处理安全风险以满足法律法规及相关方的要求,管理性与技术性的措施。

风险处置过程,应按照风险处置计划,对风险处置操作进行记录,形成风险处置记录单,同时按照风险处置计划进行回顾、跟踪和监控,检查风险处置措施的有效性与合理性,根据客户的实际情况,可对风险处置计划进行必要的调整。

    7、风险评估总结

针对风险评估的整个过程:从资产识别、资产赋值;威胁识别、威胁赋值;脆弱性识别、脆弱性赋值;已有安全措施确认;风险分析与计算;风险结果判定;风险处置;风险汇总及安全整改建议;残余风险的二次评估等的整个风险评估的过程中将输出大量的标准化的风险评估记录和分析文档,并提出合理的风险整改建议。

 常用技术手段

进行风险评估过程中比较常采用的技术手段包括:基线核查、漏洞扫描、安全管理核查、渗透测试等。

您的收益

当组织进行信息系统风险评估后,将能为组织提高IT管理水平,全面信息安全风险,同时良好的安全形象还可以促进业务的发展,带来良好的经济和社会效益。主要体现在以下几个方面:

  • 加强组织的整体信息风险预防水平;

  • 提高信息系统的风险抵抗能力;

  • 为管理层提供信息化建设的科学决策分析依据;

  • 为组织进行量化风险危害程度;

  • 帮助组织减少信息安全事件发生的机率;

  • 降低组织因信息安全经济损失;