信息安全风险评估
服务概述
系统分析单位重要核心业务涉及的网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的防护对策和整改措施。
适用对象
- 需了解并提升自身安全水平的企业
- 关键信息基础设施运营者
- 行业有强监管要求的企业
- 需要了解安全风险程度的新上线业务/系统
测试依据
- GB/T 20984-2022《信息安全技术 信息安全风险评估方法》
测试内容
1
资产识别与赋值。对核心重要资产进行识别,并对资产从保密性、完整性、可用性等安全要素进行评估赋值;
2
威胁识别与分析赋值。对恶意代码和网络攻击等威胁进行识别,分析威胁的起因、表现、途径和后果等,并对威胁出现的频率分析赋值;
3
脆弱性与已有安全措施识别与分析。分别从技术和管理方面识别脆弱性和已有安全措施,并对存在的脆弱性严重程度进行分析赋值。
4
综合分析核心重要资产所存在的脆弱性,在面对指定威胁利用时安全事件发生的可能性以及可能造成的损失。
5
估算被评估对象最终的风险程度,让客户了解自身的整体安全风险水平。
交付成果
权威第三方信息安全风险评估报告;
有针对性的防护对策和整改措施建议。