我们已经准备好了,你呢?

2021我们与您携手共赢,为您的企业形象保驾护航!

专业服务

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统的分析信息系统所面临的的威胁及存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的

防护对策和整改措施,为防范和化解信息安全风,险,将风险控制在可接受的水平,最大限度的保障信息安全。

第一步,准备阶段:风险评估的准备是整个风险评估过程有效性的保证。

①确定风,险评估的目标

②确定风,险评估的范围

③系统调研

④确定评估依据和方法

第二步,资产识别

机密性、完整性和可用性是评价资产的三个安全属性。风,险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程

度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

第三步,威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗

的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。

第四步,脆弱性识别

脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即,威胁总是要利

用资产的脆弱性才可能造成危害。

第五步,风险分析

严重程度,判断安全事件造成的损失对组织的影响,即安全风,险。

第六步,风险评估报告输出

对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风,险统计、结论、整改建议等内容。


在线客服
联系方式

服务电话

13388186160

客服二维码
微信
线