风险评估

风险评估

风险评估的原理

信息安全风险评估以资产为核心,识别资产本身存在的脆弱性和面临的安全威胁,由资产的重要性、脆弱性的严重程度和威胁发生的频率分析系统可能存在的安全风险及风险的重要程度,根据企业爱好和管理层的可接受程度设置风险处置计划,将风险造成的损失尽可能降至最低。

常用的风险评估模型举例如下:

风险评估模型

信息系统安全风险评估内容

管理安全评估:
对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估。

基础设施评估:
包括对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估、包括对操作系统安全性的全面评估。

应用安全评估:
包括对数据库管理系统、WEB服务器、中间件和应用软件的安全性进行全面评估。

渗透性测试:
对网络、数据库和应用系统中存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证,识别系统中存在的各种威胁途径,并且提出规避措施。

信息系统安全风险评估过程

共分为申请受理、准备、实施、评估、结题五个阶段,参见风险评估流程图。

客户收益

定期风险评估,对客户非常必要:

· 满足等级保护、ISO27000等合规需求

· 可以发现系统潜在的安全风险

· 为下一步的信息安全建设指明方向

安全产品
解决方案
关于我们
联系我们
安全服务

地址:北京市海淀区学清路38号
          金码大厦B座7层
邮编:100084
服务热线:400-696-8096
电 话:010-82838085
邮箱:
contact@unisguard.com

关注我们
Copyright © 2007-2017 unisguard.com All Rights Reserved 北京国舜科技股份有限公司版权所有 京ICP备09050222号 京公网安备110108000272号