返回頂部

行業動態

如何為企業做風險評估谘詢服務,主要內容有哪些?

日期:2018-06-27 點擊:

2018-06-27
如何為企業做風險評估谘詢服務,主要內容有哪些?如今企業麵臨的網絡風險越來越多,提前做好預防,成為了重要的一個環節。評估安全事件一旦發生可能造成的危害程度,提出有針對性地抵禦安全威脅的防護措施,為防範和化解信息安全風險,將風險控製在可以接受的水平,最大限度地保障網絡正常運行和信息安全提供科學依據。

已有安全措施確認

針對已識別的脆弱性確認已采取的安全措施,包括預防性安全措施和保護性安全措施,並進行記錄。


風險評估谘詢服務

風險計算

在完成資產分析、威脅可能性分析和脆弱性分析後,結合風險管理技術的思想,製定合理的風險計算方法,將對整體安全風險進行量化。為了得到跟係統實際情況更加符合的風險值,采用科學計算模型對以上得到的值進行數學擬合,結合多年來在信息安全體係建設中的經驗和對信息安全的全麵理解,綜合安全威脅所涉及的資產價值及脆弱性嚴重程度,判斷安全事件造成的損失對組織的影響,得到最終風險值。

風險評價

根據估計的風險與給定的風險準則進行比較,得到確定的風險嚴重性。

風險處置

信息安全風險和事件不可能完全避免,關鍵在於如何控製、化解和規避。不計成本地追求零風險或試圖完全消滅風險、避免風險也是不可行的。通過開展信息安全風險評估工作,可以發現信息安全存在的主要問題和矛盾,找到解決問題的辦法,尋求一個最佳的平衡點,去化解風險,及早防範。

資產識別與分析

資產識別將涉及到評估範圍內所有有價值的資產,因為被評估單位信息係統內的信息資產數量較多、欄目繁多,為了更好的對被評估單位資產價值進行分析,對資產進行盡可能詳細的分類,從而有序的對評估資產進行組織。

威脅識別與分析

在威脅調研中主要采用調查問卷的方式實現,將得到的被評估單位所麵臨威脅的描述,依據經驗和通用威脅參考標準進行賦值和等級劃分,最終得到被評估單位所麵臨的威脅值。

脆弱性識別與分析

采用問卷調查、工具檢測、人工核查、文檔查閱、漏洞掃描、滲透性測試等方法,從技術和管理兩個方麵進行識別,技術脆弱性涉及物理、網絡、係統、應用等各個層麵的安全弱點。管理脆弱性主要涉及到信息組織結構、人員、製度、審批流程等事項進行脆弱性識別。

400-0806-056
網站地圖:sitemap
网站地图:sitemap