RISK ASSESSMENT

- 风险评估 -

 

采用专业的安全评估工具,自动或者手动对评估对象信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结该系统所面临的安全风险,为后续信息系统的安全规划和建设提供决策依据。通过风险评估,可以全面、完整的了解客户信息系统的安全状况,发现当前存在的安全隐患,并且提出相应的安全建议,结合等级保护工作,配合单位进行整改。

风险评估服务内容:

河南宝通信息安全测评有限公司风险评估服务主要为客户信息系统的安全风险提供评估,依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》规定的评估步骤和评估流程,通过系统调查、资产分析、威胁分析、脆弱性测试、安全功能测试、安全管理检查、体系结构分析、安全措施分析、风险分析、安全建议等环节,对客户信息系统的资产价值、面临潜在威胁、存在的薄弱环节、已采取的防护措施等进行分析,从技术和管理两个层面综合判断信息系统面临的风险。

风险评估服务特点:

符合国内、行业的标准;

覆盖信息系统运营和信息化平台的各个层面;

公正、客观的评估结果;

帮助单位明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境(周边控制、安全措施)以及信息安全策略和制度等信息,准确了解客户的网络、系统以及管理的现状,全面给出每个层次的安全隐患和脆弱性报告,使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。

清晰的展现信息系统当前的安全现状,提供公正、客观的数据作为决策参考,为控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期的进行风险评估,以了解、掌握系统安全状态,是保证系统安全的动态措施。同时,风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段。

    风险评估使得单位能够准确定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。单位利用评估结果持续地进行改进活动,实现风险有效管理,才能使单位的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用,良好和确切的风险评估是成功的信息安全风险管理的基础。