风险评估 解决方案

Risk Assessment

从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程

优势特点

Advantage characteristics
  • 专业资质

    目前已拥有中国信息安全认证中心(CCRC)认证颁发的风险评估、安全集成资质,获得了高新技术企业认证、3A级诚信示范单位认证与软件企业认证,还是计算机病毒防治技术国家工程实验室(山西服务中心)、公安部第一研究所山西技术服务中心。

  • 服务保障

    公司将派遣数名经验丰富的工程师参加项目的评估工作,有足够的经验应对评估工作中的突发事件。从项目管理层面和工具使用层面,将评估工作对系统和网络正常运行的可能影响降低到最低限度,不会对现有运行业务产生显著影响。

  • 服务创新

    公司开创的基础运维及安全服务模式能够良好梳理客户信息系统资产,维护信息系统持续、稳定的运行。通过实施有效的安全服务,能有效防御Webshell、后门等恶意代码和CC攻击等恶意攻击,保障用户信息安全。

  • 一站式服务

    安洽科技通过多年的行业经验和技术积累,构建基于线上线下的多点联动防御体系,结合公司自主研发的持续监控和在线威胁分析平台,实现事前风险评估、事中安全加固、事后及时监测的立体安全防护,为用户提供一站式的安全服务解决方案。

方案介绍

Advantage characteristics

????.jpg


从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。


1、资产重要性识别

信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。


2、威胁的识别

威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。

本项目对威胁的识别主要采取人员访谈结合人工分析的方式,人员访谈可以快速了解到被评估单位近期发生过何种威胁,通过面对面访谈关键资产的负责人,威胁识别小组的人员可以直接获得关键资产曾经遭受到的破坏,或在对一些安全事件进行分析后,间接得到威胁的源头。评估组成员还将在实际环境中,手工分析网站系统的日志,进一步分析信息系统所面临的威胁。


3、脆弱性识别

脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。


4、风险处置计划

对不可接受风险制定《风险处置计划》,风险处理计划中应明确采取弥补脆弱性的安全措施、预期效果、进度安排等。安全措施的选择应从管理与技术两个方面考虑,安全措施的选择与实施应参照信息安全的相关标准进行。


展开全部
您身边的网络安全专家
NETWORK SECURITY EXPERTS AROUND YOU
网站导航
版权所有:山西安洽科技股份有限公司 晋ICP备10200694号-1