参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,并提出风险管理措施。
检验检测是应用系统上线前必须要做的,应用系统自身存在XSS跨站脚本、恶意木马、SQL注入、弱口令等高威胁风险,一旦未经检测直接上线,不仅仅会影响系统自身运行,对公民、法人甚至社会秩序和公众利益都会造成损害。最严重的是一旦系统底层代码被篡改,上线后再进行排查和整改,人力、财力、物力的成本将远远高于上线前。
未经检测的系统上线后发生了信息安全事故,会触犯《网络安全法》,不仅仅会处罚系统直接负责人,主管责任人,严重些还会产生刑事责任。
确定评估范围、目标,建立项目组成人员机构,规划过程所用工具、访谈表单、流程,建立整体评估方案,经双方研讨后批准实施。
对评估所涉资产进行统计识别,形成资产清单;技术层面的应用系统、主机服务器、数据库、网络环境、信息安全设备;管理层面的的技术管理安全组织管理机构及管理制度;根据资产分布和重要程度对资产进行分类、赋值。
三方面:漏洞扫描、渗透测试、应用评估。通过工具和人工渗透手段对所涉资产进行综合测试,包括但不限于功能测试、安全性测试、压力测试、日常维护、漏洞排查等部分。
两方面:技术管理、组织管理。通过访谈和排查对所涉的组织机构、人员、制度、物理环境、安全策略进行收集和汇总,包括但不限于物理环境、通信操作管理、技术及物理层访问控制、系统开发与维护、业务特性、策略设置、人员安全意识等部分。
根据技术层管理层评估结果,结合资产分布和重要程度,将发现的资产威胁、面临的风险、可能发生的安全事件、资产脆弱性进行统一整合,直观形成威胁与脆弱性的分布情况及可能发生程度,以此划分风险等级。
根据重要资产、脆弱性分及威胁分布,制定计算方法,计算出各项风险值,完善和补充控制措施,划分风险等级,给出合理化风险处置建议或加固整改建议,形成风险评估报告。
优势一 全面协助客户发现系统的安全风险
金诚信息安全风险评估咨询服务通过访谈、问卷、现场调研、漏洞扫描、渗透测试等多种手段,全面协助客户发现系统的安全风险。 立即咨询
优势二 综合运用多种风险评估方法协助客户进行系统的风险评估
金诚信息安全风险评估咨询服务根据业务系统的实际情况,综合运用多种风险评估方法协助客户进行系统的风险评估,包括流程图法、环境分析法、分解分析法、调查列举法等。 立即咨询
优势三 指导整个安全风险评估服务咨询项目的实施过程
金诚信息安全风险评估咨询服务依据ISO9000的质量管理流程以及金诚重大工程管理流程进行项目交付,并以合规工程的实施标准,指导整个安全风险评估服务咨询项目的实施过程。 立即咨询
优势四 以最专业的技术手段帮助客户进行风险评估服务
金诚信息安全风险评估咨询服务具有中国信息安全认证中心颁发的信息安全风险评估资质,通过了ISO27001、ISO2000-1等相关认证,以最专业的技术手段帮助客户进行风险评估服务。 立即咨询