風(fēng)險(xiǎn)評(píng)估服務(wù)是依據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》標(biāo)準(zhǔn)對(duì)客戶信息系統(tǒng)開(kāi)展的風(fēng)險(xiǎn)評(píng)估工作�,具體內(nèi)容包括用戶信息系統(tǒng)安全現(xiàn)狀��,對(duì)信息資產(chǎn)面臨的威脅、存在的脆弱性���、現(xiàn)有防護(hù)措施及綜合作用而帶來(lái)風(fēng)險(xiǎn)的發(fā)生可能性評(píng)估����,最終提供全面的風(fēng)險(xiǎn)評(píng)估報(bào)告���。
風(fēng)險(xiǎn)評(píng)估的目的是通過(guò)對(duì)客戶資產(chǎn)進(jìn)行全面了解和風(fēng)險(xiǎn)掌控評(píng)估��,分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)架構(gòu)��、網(wǎng)絡(luò)設(shè)備��、安全設(shè)備���、中間件���、數(shù)據(jù)庫(kù)的安全現(xiàn)狀,識(shí)別組織面臨的網(wǎng)絡(luò)與信息安全威脅和風(fēng)險(xiǎn)���,明確采取何種有效措施���,降低安全事件發(fā)生的可能性或者其所造成的影響,減少業(yè)務(wù)系統(tǒng)的脆弱性����,從而將風(fēng)險(xiǎn)降低到可接受的水平。同時(shí)�����,全面掌握客戶資產(chǎn)的安全防護(hù)水平���,檢驗(yàn)網(wǎng)絡(luò)與信息安全規(guī)劃建設(shè)的成效���,為管理層加強(qiáng)網(wǎng)絡(luò)與信息安全保護(hù)管理工作提供科學(xué)的決策依據(jù)���。
一�����、服務(wù)內(nèi)容
1.資產(chǎn)識(shí)別
資產(chǎn)識(shí)別的目的在于全面掌握評(píng)估對(duì)象的現(xiàn)狀信息�����。是對(duì)評(píng)估范圍內(nèi)的網(wǎng)絡(luò)與信息系統(tǒng)設(shè)備屬性(資產(chǎn)功能��、IP地址���、使用狀態(tài)��、物理位置����、資產(chǎn)廠商�����、資產(chǎn)型號(hào)����、資產(chǎn)責(zé)任部門(mén)、維護(hù)人員等)進(jìn)行識(shí)別和確認(rèn)��,并對(duì)資產(chǎn)進(jìn)行分類(lèi)整理(資產(chǎn)層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)����、系統(tǒng)組件和單元資產(chǎn))。
2.威脅識(shí)別
威脅識(shí)別是指確定可能對(duì)組織或系統(tǒng)造成危害的威脅���,并對(duì)其進(jìn)行分析的過(guò)程���。威脅獲取的方法有:人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等�����。以下是在威脅識(shí)別過(guò)程中??紤]的內(nèi)容:
3.脆弱性識(shí)別
脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心���,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)����,識(shí)別可能被威脅利用的脆弱性�����,并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估����;也可以從物理、網(wǎng)絡(luò)�、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別���,然后與資產(chǎn)�����、威脅對(duì)應(yīng)起來(lái)�。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)��,也可以是行業(yè)規(guī)范�����、應(yīng)用流程的安全要求�。對(duì)應(yīng)用在不同環(huán)境中的相同的脆弱性,其影響程度是不同的���,評(píng)估方應(yīng)從組織安全策略的角度考慮��,判斷資產(chǎn)的脆弱性被利用難易程度及其影響程度���。同時(shí)�,應(yīng)識(shí)別信息系統(tǒng)所采用的協(xié)議����、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等�。
脆弱性識(shí)別所采用的方法主要有:?jiǎn)柧碚{(diào)查、工具檢測(cè)��、人工核查�����、文檔查閱��、滲透性測(cè)試等�����。
4.已有安全措施識(shí)別
已有安全措施的識(shí)別和確認(rèn)主要分為兩部分:技術(shù)控制措施的識(shí)別與確認(rèn)����、管理和操作控制措施的識(shí)別和確認(rèn)��。
識(shí)別完已有安全措施后�,需要對(duì)已有安全措施的有效性進(jìn)行確認(rèn)����,一般采取以下三種方式進(jìn)行確認(rèn):訪談和調(diào)查�、工作原理分析、無(wú)害測(cè)試��。
最后����,已有安全措施的確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)���,安全措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性�����,但安全措施確認(rèn)并不需要和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)����、組件的脆弱性���,而是一類(lèi)具體措施的集合���,為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考�,結(jié)合網(wǎng)絡(luò)及業(yè)務(wù)特點(diǎn)�,對(duì)安全措施進(jìn)行確認(rèn)并對(duì)相關(guān)脆弱性進(jìn)行降低。
5.風(fēng)險(xiǎn)分析
風(fēng)險(xiǎn)分析是指對(duì)客戶資產(chǎn)面臨的各種潛在風(fēng)險(xiǎn)進(jìn)行系統(tǒng)性評(píng)估和分析的過(guò)程風(fēng)險(xiǎn)���,風(fēng)險(xiǎn)分析包括:
Ø 建立風(fēng)險(xiǎn)模型
Ø 風(fēng)險(xiǎn)分析計(jì)算
Ø 風(fēng)險(xiǎn)評(píng)價(jià)
最后根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理�。
6.風(fēng)險(xiǎn)處置
確定風(fēng)險(xiǎn)處置原則和風(fēng)險(xiǎn)處置措施��,提出風(fēng)險(xiǎn)處置建議�。
二、服務(wù)流程
三��、服務(wù)優(yōu)勢(shì)
Ø 涵蓋全面的風(fēng)險(xiǎn)識(shí)別����、分析、評(píng)估和管理流程�,確保風(fēng)險(xiǎn)評(píng)估的全面性和準(zhǔn)確性。
Ø 能夠幫助客戶充分利用外部資源����,避免內(nèi)部資源分散和浪費(fèi)����,提高效率和成本效益�����。
Ø 能夠根據(jù)客戶的具體需求和特點(diǎn)�����,提供定制化的風(fēng)險(xiǎn)管理建議和解決方案�����,幫助客戶有效地應(yīng)對(duì)風(fēng)險(xiǎn)���。
當(dāng)前位置: