信息安全風險評估主要內容依據國家標準GB/T20984-2007,應至少包括:
| 項目 | 簡要描述 | |
| 資產識別 | 資產數據采集 | 確定信息系統的資產 |
| 資產分類識別 | 根據資產使用模式、訪問點等屬性,對其進行分類 | |
| 資產賦值 | 根據資產在保密性、完整性和可用性方面的損失所引發的業務影響程度,對其價值進行估值 | |
| 威脅識別 | 威脅數據采集 | 確定信息系統每項資產所面臨的的安全威脅 |
| 威脅分類識別 | 根據威脅來源,對標識出的威脅進行分類 | |
| 威脅賦值 | 根據威脅發生的可能性和頻度對其進行估價 | |
| 物理脆弱性識別 | 環境 | 從場地、供電、監控等環境方面進行脆弱性識別 |
| 系統 | 從設備標識、標記、布局等方面進行脆弱性識別 | |
| 設備 | 從系統備份、設備管理、性能管理的等方面進行脆弱性識別 | |
| 網絡脆弱性識別 | 網絡拓撲結構 | 從接入方式、子網劃分、入侵檢測措施等方面進行脆弱性識別 |
| 網絡通訊基礎設施 | 從訪問控制措施、遠程維護、審計策略等方面進行脆弱性識別 | |
| 網絡數據傳輸安全體系 | 從SSL協議配置、傳輸安全機制等方面進行脆弱性識別 | |
| 網絡安全基礎設施 | 從訪問控制措施、遠程維護、審計策略等方面進行脆弱性識別 | |
| 系統脆弱性識別 | 操作系統系統 | 從系統維護方式、口令策略、網絡服務配置等方面進行脆弱性識別 |
| 應用服務器系統 | 從系統維護方式、口令策略、系統資源配置等方面進行脆弱性識別 | |
| 數據庫服務器系統 | 從訪問控制策略、用戶配置、審計策略等方面進行脆弱性識別 | |
| 應用脆弱性識別 | 系統設計安全性識別 | 從應用程序設計、工程實現等方面進行脆弱性識別 |
| 業務功能脆弱性識別 | 從業務邏輯、功能實現等方面進行脆弱性識別 | |
| 系統工程實現脆弱性識別 | 從系統工程設計與實現、安全功能等方面進行脆弱性識別 | |
| 管理脆弱性識別 | 組織機構 | 從崗位設置、人員配置、審核等方面進行脆弱性識別 |
| 人員管理 | 從人員錄用離崗、文檔資料等方面進行脆弱性識別 | |
| 制度管理 | 從總體方針和安全策略、制度的修訂和發布等方面進行脆弱性識別 | |
| 安全策略 | 從總體安全策略、測試與驗收策略、備份與恢復策略等方面進行脆弱性識別 | |
| 系統建設 | 從工程實施、項目變更、系統交付等方面進行脆弱性識別 | |
| 系統運維 | 從網絡安全管理、病毒和惡意代碼管理、密碼管理等方面進行脆弱性識別 | |
| 已有安全措施優先性識別 | 預防性措施 | 識別威脅利用脆弱性導致安全事件發生的可能性 |
| 保護性措施 | 識別減少安全事件發生后對組織或系統造成的影響 | |
| 風險分析 | 風險值計算 | 采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性 |
| 風險結果判定 | 量化風險,風險處理計劃,殘余風險評估 | |
信息安全風險評估
安信達咨詢擁有一批來自HP,IBM等國內國際公司的資深信息安全顧問及國際和國內知名認證公司的資深審核人員組成的服務團隊。所有信息安全從業人員均具有10年以上的企業信息安全咨詢服務經驗。所有人員均具有ISO20000 LA、ISO27001 LA、ISO22301 LA、CISP、CISAW、CIW、 COBIT、ITIL Expert、注冊審核員、注冊咨詢師等資質。另外安全服務人員具有不同的背景專長,技能能夠覆蓋信息安全涉及的方方面面。
我們服務的客戶包括政府、金融、電信、制造、電力、互聯網和流程外包行業,在信息技術咨詢服務方面是專注的實踐者,積累了深厚的實施經驗 。是具有CMMI、ISO27001 和ISO20000、ISO22301、ISO9001等多體系集成及技術實現能力的咨詢專家。
安信達咨詢將“幫助企業形成可持續發展的核心競爭優勢”為己任,秉承“誠信、求實、創新”的經營宗旨,堅持“客戶導向、結果導向、價值導向”的服務特色,形成了以“品牌、知識、人才、執行”為核心的競爭能力。我們專注于為企業提供:
流程規范與落地實施
管理體系建立(ISO9001)
流程梳理與優化、組織管理
IT治理
IT規劃、數據治理、風險評估、安全加固
信息化建設標準、滲透測試服務、IT審計
信息安全/隱私安全管理
信息安全管理體系建設(ISO27001)
隱私安全管理體系建設(ISO27701、ISO29151)
信息安全規劃、基礎架構安全、數據安全
合規體系建立(GDPR、CPAA、信息安全管理條例)
信息技術服務管理
信息技術服務管理體系建設(ISO20000)
IT服務戰略、運營和操作
業務連續性管理
業務連續性管理體系(ISO22301)
BCM、容災規劃、應急響應
安信達咨詢在咨詢服務過程中,堅持將管理理論的創新成果與現代信息技術發展的最新成就相結合,與企業共同探討和解決發展中存在的問題。我們所提供的管理模式、業務流程、現代管理技術、信息集成技術和服務,將為企業提供切實可行的解決方案,幫助企業在現實的環境下快速達到可度量的商業價值,提升企業的市場競爭力、管理水平和管理績效。
信息安全咨詢公司