风险评估

2020-05-14 10:23 点击(4986)


 信息安全风险评估就是从风险管理的角度,科学地分析和评估信息与信息系统在保密性、完整性、可用性等方面所面临的风险,制定风险减少、转移和规避等风险控制措施,为网络安全建设提供科学依据。


 清华高科基于多年信息安全服务,对ISO27001、GBT20984、GBT31509等标准的理解与应用,建立了资产评估和合规评估两套风险评估体系,将等级保护和分级保护安全标准充分与资产融合,采用人工访谈、现场核查、扫描检测、渗透性测试进行定性和定量的安全分析,识别资产价值、脆弱性、威胁以及三者综合作用所带来的风险,并为风险控制提出科学的解决方案,以及提供安全加固服务。


风险评估流程:


(1) 确立评估对象:明确信息资产、应用系统、软硬件资产、网络资产、人员和系统使命等,给出系统功能、边界,并确定评估范围。


(2) 评估准备:按要求制定评估计划,确定评估程序,选择合适的评估方法和工具,组建风险评估项目组,并明确组织分工。


(3) 风险识别:识别评估范围里的重要资产与一般资产,按照保密性、完整性、可用性三个方面分别执行详细评估或基线评估等不同的评估;分别识别各类信息面临的威胁,进行分类整理;识别资产自身存在的脆弱性(包括漏洞、缺陷等);识别现有安全措施(包括操作管理措施和技术措施)。


(4) 风险分析:结合资产的属性,分析脆弱性被威胁利用的可能性及后果和现有安全保密措施的在事件防范与影响控制方面的有效性,分别按照保密性、完整性、可用性进行风险分析,其中保密性措施分析关键分析安全措施与标准要求的差距、完整性与可用性则按照通用的要求进行分析。


(5) 风险评估:评价分析风险的状态信息,结合安全保密风险控制能力的情况,由信息系统建设和使用单位的有关人员与信息安全专家共同组成专家小组,编制风险评估报告和控制计划,为网络安全建设提供决策支撑。


(6) 风险控制:风险评估报告通过审批后,按批示要求采取有效措施,对风险进行处置,调整系统的状态,规避、降低、转移或接受风险,使系统中的风险得到有效控制。


风险评估工具:


主机、网络、数据库安全审计(CheckList)

应用代码安全审计工具

网络隐患漏洞扫描

木马病毒专项检查

网络流量监控与分析

渗透与攻击性专项测试

关键设备安全性专项测试

其他专项检测

Back to Top