简介

业务风险评估服务

阅读 214  ·  发布日期 2020-09-25 10:33:00

业务风险是通过对客户的业务、组织、信息系统采用分析模型,进行对业务进行风险评估;评估出业务管理落实到信息化之间的风险。

标签 业务风险 业务识别 风险评估
详细内容

业务风险评估服务

通过业务风险评估,可以清楚地了解本单位的相关业务面临的安全风险,进而快速地调整信息安全策略进行抵御威胁。保证本单位应用系统的安全、稳定地运行。

评估流程:

在签订服务合同后,为保障客户的利益,联旭科技将同时和客户签订相应的保密协议。确定双方的权利和责任后,将按照下图所示流程进行业务风险评估实施。

1521451045307442.jpg

业务风险评估的内容:

1、业务识别

对客户特定范围的业务进行风险评估,首先识别组织的业务类型。其次针对已识别的业务,再根据行业标准、规范和合规、以及本单位的规定,进行业务功能识别与分析和业务流程梳理及分析,如下:

1521451045716347.jpg

2、组织识别

IT管理当中,经常说,三分技术,七分管理,同时,在信息安全管理当中,安全管理工作是非常重要的一项活动。因此,在业务风险评估中,组织识别是首先需要对组织机构进行分析的首要调研工作,需要识别组织中对信息安全管理工作都有哪些组织在支撑与运营,调研清楚了组织都有哪些单元,接下来就是对组织架构进行识别与分析和组织职能识别与分析。

  • 组织架构识别与分析:调研清楚组织中有何种的组织架构,如IT部门、业务部门、技术支持部门、审计部门等。

  • 组织职能识别与分析:调研清楚这些组织架构中都有哪些职能?有哪些角色等。

3、信息系统识别

将业务风险评估所涉及的信息系统及相关的资产进行恰当的分类,以此划分的资产的基础进行下一步的威胁识别、脆弱性识别等一系列风险评估工作。

1521451045433388.jpg

4、已有安全措施确认

在进行业务风险评估的时候,将对已采取的安全措施的有效性进行确认,包括 :安全策略、安全组织、安全运作流程、网络及网络设备等。并对其中有效的安全措施继续保持,以避免在后期进行风险整改的时候,浪费不必要的时间和成本,防止安全措施的重复实施。对于确认为不适当的安全措施应核实应进行记录与分析,或者提出更合适的安全措施替代。

5、风险评估总结

联旭科技在业务风险评估的整个过程,从业务识别、组织识别、信息系统识别、风险分析与计算、风险结果判定、风险处置、风险汇总及安全整改建议;残余风险的二次评估等的整个风险评估的过程中,输出大量的风险评估的记录文档,以及风险问题的输出,我们都采取标准化与严格的文档控制与分析的结果风险,严格按照业务系统的数据流转情况,提出合理的风险整改建议。

常用技术手段:

联旭科技在进行风险评估过程中比较常采用的技术手段包括:基线核查、漏洞扫描、安全管理核查、渗透测试等。

业务风险评估的好处:

  • 将业务融于风险管理

组织真正的风险实际是业务流转过程中所形成的。首先讨论业务构成风险是完成组织风险管控的重要前提。

  • 立体化的风险展现

通过业务风险评估,管理层可以清楚知道本单位有多少业务和业务流程,并且清楚各个业务流程都存在哪些安全风险。

  • 全面分析业务内、外在风险

通过业务风险评估,管理层可以全面地风险是存在于技术中还是应纳入管理梳理的范围,避免简单地将风险全部归于技术可解决的范畴所带来的重复投入。

您的收益:

当组织进行信息系统风险评估后,将能为组织提高IT管理水平,全面信息安全风险,同时良好的安全形象还可以促进业务的发展,带来良好的经济和社会效益。主要体现在以下几个方面:

  • 可全面和有条理地向管理层反映现有的业务存在的安全风险和所需的安全保障措施;

  • 以合理客观的方式制订业务信息安全风险控制的开支和成本预算;

  • 为决策和政策考虑提供不同的解决方案,使信息安全管理能够从策略性的层面推行;

  • 为日后比较信息安全措施的变化提供依据;

  • 对组织的关键业务风险进行全面梳理,识别业务的重要性;

  • 清晰自身所面临的威胁及其威胁方式方法,便于有针对性地防护;

  • 认识自身存在的脆弱性(不足),能够有目的性的进行补遗整改工作

  • 对组织的安全管理有清晰的认识,能够有意识的加强管理建设;

  • 明确自身整体安全状态,制定整体安全规划,逐步完善防护能力、检测能力、响应能力、恢复能力,实现整体安全。