您好,歡迎來到易龍商務網!
全國咨詢熱線:13888199178
【廣告】
發布時間:2021-10-02 22:18
安全評估服務介紹
新上線安全測試:圍繞應用系統的生命周期,在新應用系統投入運行前,從應用系統的應用、主機、運行邏輯、第三方組件以及合規性等方面,進行上線安全評估。根據評估的結果形成安全檢測報告并提供解決方案,確保應用系統安全、平穩的運行。
安全體檢:通過用戶訪談和問卷調研識別客戶的重要業務系統,進行脆弱性識別,針對已識別的脆弱性進行場景化風險分析并給出相應的場景解決方案。
安全評估服務 - 流程介紹
準備階段:
1、確定評估范圍:提出信息系統的目的、需求、規模和安全要求。
2、建立評估組織架構:責任人及編制信息安全評估方案及計劃。
3、項目啟動會議:講解方案計劃明晰責任及流程,輸出會議紀要。
輸出成果:《安全風險評估評估組織》、《保密協議書》、《信息安全風險評估方案與計劃》、《安全風險評估工作啟動會議紀要》等
資產識別:
1、資產收集:業務應用、文檔和數據(網絡拓撲、資產臺賬、相關文檔及數據)、軟硬件資產、物理環境(機房)、組織管理(規章制度);
2、區分資產重要性:結合業務情況及實際依賴程度區分重要資產與非重要資產;
3、重要資產估值與確認。
輸出成果:《資產識別表》、《重要資產估值表》等。
脆弱性威脅評估:
1、脆弱性評估:1)技術性弱點、2)操作性弱點、3)管理性弱點;
2、威脅評估:1)人員威脅、2)系統威脅、3)環境威脅、4)自然威脅;
輸出成果:《脆弱性、威脅、風險分析表》、《潛伏威脅評估表》。
防護能力評估:
通過訪談途徑識別現有的安全措施并評估其效力。重點分析場景:
1、漏洞利用防護;
2、身份認證;
3、監控審計;
4、應急備份;
5、其他。
輸出成果:《防護能力評估表》。
風險分析:
1、風險分析方法;
2、風險等級劃分;
3、不可接受風險劃分;
4、風險統計。
輸出成果:《脆弱性、威脅、風險分析表》。
風險處置:
針對不可接受風險提出相應的整改方案及計劃完成時間。
輸出成果:《安全風險評估報告》、《安全風險評估工作總結會議紀要》。
什么是威脅評估
威脅是指可能對資產或組織造成損害事故的潛在原因。作為風險評估的重要因素,威脅是一個客觀存在的事物,無論對于多么安全的信息系統,它都存在。
威脅評估采用的方法是問卷調查、問詢、數據取樣、日志分析。在這一過程中,首先要對組織需要保護的每一項關鍵資產進行威脅識別。在威脅評估過程中,應根據資產所處的環境條件和資產以前遭受威脅損害的情況來判斷,一項資產可能面臨著多個威脅,同樣一個威脅可能對不同的資產造成影響。識別出威脅由誰或什么事物引發以及威脅影響的資產是什么,即確認威脅的主體和客體。
