返回顶部

行业动态

如何为企业做风险评估咨询服务,主要内容有哪些?

日期:2018-06-27 点击:     关键词:风险评估咨询服务

2018-06-27
如何为企业做风险评估咨询服务,主要内容有哪些?如今企业面临的网络风险越来越多,提前做好预防,成为了重要的一个环节。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。

已有安全措施确认

针对已识别的脆弱性确认已采取的安全措施,包括预防性安全措施和保护性安全措施,并进行记录。


风险评估咨询服务

风险计算

在完成资产分析、威胁可能性分析和脆弱性分析后,结合风险管理技术的思想,制定合理的风险计算方法,将对整体安全风险进行量化。为了得到跟系统实际情况更加符合的风险值,采用科学计算模型对以上得到的值进行数学拟合,结合多年来在信息安全体系建设中的经验和对信息安全的全面理解,综合安全威胁所涉及的资产价值及脆弱性严重程度,判断安全事件造成的损失对组织的影响,得到最终风险值。

风险评价

根据估计的风险与给定的风险准则进行比较,得到确定的风险严重性。

风险处置

信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决问题的办法,寻求一个最佳的平衡点,去化解风险,及早防范。

资产识别与分析

资产识别将涉及到评估范围内所有有价值的资产,因为被评估单位信息系统内的信息资产数量较多、栏目繁多,为了更好的对被评估单位资产价值进行分析,对资产进行尽可能详细的分类,从而有序的对评估资产进行组织。

威胁识别与分析

在威胁调研中主要采用调查问卷的方式实现,将得到的被评估单位所面临威胁的描述,依据经验和通用威胁参考标准进行赋值和等级划分,最终得到被评估单位所面临的威胁值。

脆弱性识别与分析

采用问卷调查、工具检测、人工核查、文档查阅、漏洞扫描、渗透性测试等方法,从技术和管理两个方面进行识别,技术脆弱性涉及物理、网络、系统、应用等各个层面的安全弱点。管理脆弱性主要涉及到信息组织结构、人员、制度、审批流程等事项进行脆弱性识别。

400-0806-056