深圳市常行科技有限公司
 
 
风险评估 应急响应 渗透测试 等级保护 重保服务 管理体系评估
安全加固 漏洞扫描 备件支持 安全建设规划 内网深度威胁发现 巡检服务
风险评估解决方案

风险评估工作是由用户组织,安全评估服务方承担的对网络与信息系统安全现状的评估工作。我司负责完成风险分析,提供网络安全规划建设建议。评估目的是分析信息系统及其所依托的网络安全状况,全面了解和掌握新系统面临的网络安全威胁和风险,明确采取何种有效措施,降低威胁事件发生的可能性或者其所造成的影响,减少信息系统的脆弱性,从而将风险降低到可接受的水平;同时,可以了解信息系统的安全防护水平,以及为后期安全规划建设提供原始依据。


风险评估的必要性

1、能够更加有效进行资产管理,明确保护对象的优先级;

2、能够对已经入侵的潜在威胁进行识别,降低现有的安全隐患导致的安全事件发生几率;

3、了解安全现状及已有安全措施的有效性,是否满足法律的合规性;

4、根据安全风险评估结果,给出符合用户实际情况的加固建议,进行更有针对性的安全建设,为后续的安全工作提供方向;

5、倡导适度安全,遵循风险管理原则评估风险可接受程度,避免因刻意追求绝对安全而造成过度投资的现象。


风险评估的范围与内容

风险评估主要包括两个方面的内容:技术层面安全评估和管理层面安全评估。技术层面安全评估包括物理环境、网络安全、主机安全、应用安全、数据安全的安全评估,管理层面安全评估有安全管理机构、安全管理制度、安全管理人员、安全建设管理、安全运维管理安全评估。风险评估的范围包括企业的信息系统所属的物理环境、网络、安全设备、主机及应用系统风险。


风险评估流程

通过现有的信息资产、面临的威胁、内部存在脆弱性进行识别与梳理,同时对已有安全措施进行确认。从而选择一个适合公司的风险评估方法,进行风险计算,并根据计算的风险的结果决定是否需要进行适当的风险控制与处理。具体风险评估流程图如下所示:


风险评估100.png

风险评估操作计划表


 项目描述  风险评估操作计划
 简要描述  确定风险评估的目标和风险评估的范围,组建适当的评估管理和实施团队,选择相适应的风险判断方法
 达成目标

 全面了解和掌握信息系统面临的网络安全威胁和风险

 主要内容  每年对企业的信息资产进行识别,脆弱性识别,威胁识别和风险分析
 实现方式  通过用户访谈、工具扫描分析、手工渗透,科学风险分析
 工作结果
 资产识别表、脆弱性识别表、威胁识别表、风险评估报告
 参加人员

 我司评估小组,客户网络管理人员、系统管理人员、数据库管理人员

 工作频率  每年一次






联系我们

0755-89488369
深圳市常行科技有限公司
深圳市常行科技有限公司 www.szcxlong.com 地址:深圳市梅龙路88号七星商业广场B座805 粤ICP备16030325号    粤ICP备16030325号