安全测评服务
项目介绍
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。
风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可能性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值判断安全事件一旦发生对组织造成的影响。
通过对被测业务系统进行风险评估,确定系统威胁来源及脆弱性,识别系统面临的风险,并根据评估结果,实施相应措施降低系统风险,从而达到提高业务系统安全性的目的。
测评范围
风险评估范围可能是组织全部的信息及信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
在确定评估范围时,需结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围边界,可参考以下依据作为评估范围边界划分的划分原则:
(1) 业务系统的业务逻辑边界;
(2) 网络边界;
(3) 物理环境边界;
(4) 组织管理权限边界。
测评依据
主要测评依据(以下标准均为最新版本适用):
1、GB/T 20274 《信息系统安全保障评估框架》系列标准
2、GB/T 20984 《信息安全风险评估规范》
3、GB/T 18336 《信息技术 技术安全 信息技术安全评估准则》系列标准
项目流程
信息安全风险评估主要包括评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险评估文件记录七个阶段,具体实施流程如下图所示:
中文