概念定义
风险评估是指通过对信息系统进行资产识别、威胁识别与分析以及脆弱性识别与分析,从物理脆弱性、网络脆弱性、管理脆弱性和应用脆弱性(包括服务器、数据库、应用软件和终端)四个方面进行科学赋值,并对信息系统的资产进行风险统计和计算,综合分析存在的风险和已采取的安全措施,给出风险控制建议。
评估范围
风险评估涉及信息系统的软硬件资源,包括服务器,网络设备,安全设备,业务应用系统,以及安全策略和管理制度等。通过收集、分析使用单位所提交资料进行多次调研、分析使用单位信息系统基础架构和应用,然后对上述过程收集的数据、资料和现场核查分析。
参考依据
在整个风险评估分析过程中,遵循和参照以下信息安全标准、规范,作为评估实施的基本原则:- GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
- GB18336(ISO15408):《信息安全技术 信息技术安全评估准则》
- ISO27001:信息安全管理体系指南
- CVE:通用脆弱性标准
- OCTAVE:可操作的关键威胁、资产和脆弱性评价
- 在风险评估项目中,重点参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》来开展相应的分析工作
评估流程
风险评估服务流程如下图所示:
服务优势
上海云盾具有专业的风险评估服务团队,资深的安全服务人员,经验丰富的渗透测试工程师,从系统安全、应用安全和数据安全等多个维度发现信息系统存在安全风险,帮助客户更好的发现和应对风险,及时采取有效措施规避风险,降低客户的经济损失。
