风险评估工作是由用户组织,安全评估服务方承担的对网络与信息系统安全现状的评估工作。我司负责完成风险分析,提供网络安全规划建设建议。评估目的是分析信息系统及其所依托的网络安全状况,全面了解和掌握新系统面临的网络安全威胁和风险,明确采取何种有效措施,降低威胁事件发生的可能性或者其所造成的影响,减少信息系统的脆弱性,从而将风险降低到可接受的水平;同时,可以了解信息系统的安全防护水平,以及为后期安全规划建设提供原始依据。
1、能够更加有效进行资产管理,明确保护对象的优先级;
2、能够对已经入侵的潜在威胁进行识别,降低现有的安全隐患导致的安全事件发生几率;
3、了解安全现状及已有安全措施的有效性,是否满足法律的合规性;
4、根据安全风险评估结果,给出符合用户实际情况的加固建议,进行更有针对性的安全建设,为后续的安全工作提供方向;
5、倡导适度安全,遵循风险管理原则评估风险可接受程度,避免因刻意追求绝对安全而造成过度投资的现象。
风险评估主要包括两个方面的内容:技术层面安全评估和管理层面安全评估。技术层面安全评估包括物理环境、网络安全、主机安全、应用安全、数据安全的安全评估,管理层面安全评估有安全管理机构、安全管理制度、安全管理人员、安全建设管理、安全运维管理安全评估。风险评估的范围包括企业的信息系统所属的物理环境、网络、安全设备、主机及应用系统风险。
通过现有的信息资产、面临的威胁、内部存在脆弱性进行识别与梳理,同时对已有安全措施进行确认。从而选择一个适合公司的风险评估方法,进行风险计算,并根据计算的风险的结果决定是否需要进行适当的风险控制与处理。具体风险评估流程图如下所示:
| 项目描述 | 风险评估操作计划 |
| 简要描述 | 确定风险评估的目标和风险评估的范围,组建适当的评估管理和实施团队,选择相适应的风险判断方法 |
| 达成目标 | 全面了解和掌握信息系统面临的网络安全威胁和风险 |
| 主要内容 | 每年对企业的信息资产进行识别,脆弱性识别,威胁识别和风险分析 |
| 实现方式 | 通过用户访谈、工具扫描分析、手工渗透,科学风险分析 |
| 工作结果 | 资产识别表、脆弱性识别表、威胁识别表、风险评估报告 |
| 参加人员 | 我司评估小组,客户网络管理人员、系统管理人员、数据库管理人员 |
| 工作频率 | 每年一次 |
