您好,欢迎访问中保天和!

今天:2024年04月24日

咨询热线:010 - 84264757

首页
专项服务
解决方案
新闻中心
政策规范
专家视角

我司通过各种资源,力邀行业内的权威专家对时代热点和相关政策法规进行解读,站在信息行业的制高点,描绘行业的宏伟蓝图,促进行业的健康发展。 以专家的视角,用事实说话,力求前瞻性和权威性,为企业和个人的发展提供参考依据

关于我们

首页 >专项服务 >信息安全风险评估

0

我们为您提供的服务

对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
风险评估具体评估过程如下:
确定资产
安全评估的第一步是确定信息系统的资产,并明确资产的价值,资产的价值是由对组织、供应商、合作伙伴、客户和其他利益相关方在安全事件中对保密性、完整性和可用性的影响来衡量的。资产的范围很广,一切需要加以保护的东西都算作资产,包括:信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。              
脆弱性和威胁分析。
对资产进行细致周密的分析,发现它的脆弱点及由脆弱点所引发的威胁,统计分析发生概率、被利用后所造成的损失等。
制定及评估控制措施
在分析各种威胁及它们发生可能性基础上,研究消除/减轻/转移威胁风险的手段。这一阶段不需要做出什么决策,主要是考虑可能采取的各种安全防范措施和它们的实施成本。制定出的控制措施应当全面,在有针对性的同时,要考虑系统地、根本性的解决方法,为下一阶段的决策作充足的准备,同时将风险和措施文档化。
决策
这一阶段包括评估影响,排列风险,制定决策。应当从3 个方面来考虑最终的决策:接受风险、避免风险、转移风险。对安全风险决策后,明确信息系统所要接受的残余风险。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理层的代表到业务部门的主管,从技术人员到非技术人员。
沟通与交流
由上一阶段所做出的决策,必须经过领导层的签字和批准,并与各方面就决策结论进行沟通。这是很重要的一个过程,沟通能确保所有人员对风险有清醒地认识,并有可能在发现一些以前没有注意到的脆弱点。
监督实施
最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。另外,由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的:攻击者不断有新的方法绕过或扰乱系统中的安全措施;系统的变化会带来新的脆弱点;实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重评估。


访问统计: 21205 人次