信息安全风险评估主要内容依据国家标准GB/T20984-2007,应至少包括:
| 项目 | 简要描述 | |
| 资产识别 | 资产数据采集 | 确定信息系统的资产 |
| 资产分类识别 | 根据资产使用模式、访问点等属性,对其进行分类 | |
| 资产赋值 | 根据资产在保密性、完整性和可用性方面的损失所引发的业务影响程度,对其价值进行估值 | |
| 威胁识别 | 威胁数据采集 | 确定信息系统每项资产所面临的的安全威胁 |
| 威胁分类识别 | 根据威胁来源,对标识出的威胁进行分类 | |
| 威胁赋值 | 根据威胁发生的可能性和频度对其进行估价 | |
| 物理脆弱性识别 | 环境 | 从场地、供电、监控等环境方面进行脆弱性识别 |
| 系统 | 从设备标识、标记、布局等方面进行脆弱性识别 | |
| 设备 | 从系统备份、设备管理、性能管理的等方面进行脆弱性识别 | |
| 网络脆弱性识别 | 网络拓扑结构 | 从接入方式、子网划分、入侵检测措施等方面进行脆弱性识别 |
| 网络通讯基础设施 | 从访问控制措施、远程维护、审计策略等方面进行脆弱性识别 | |
| 网络数据传输安全体系 | 从SSL协议配置、传输安全机制等方面进行脆弱性识别 | |
| 网络安全基础设施 | 从访问控制措施、远程维护、审计策略等方面进行脆弱性识别 | |
| 系统脆弱性识别 | 操作系统系统 | 从系统维护方式、口令策略、网络服务配置等方面进行脆弱性识别 |
| 应用服务器系统 | 从系统维护方式、口令策略、系统资源配置等方面进行脆弱性识别 | |
| 数据库服务器系统 | 从访问控制策略、用户配置、审计策略等方面进行脆弱性识别 | |
| 应用脆弱性识别 | 系统设计安全性识别 | 从应用程序设计、工程实现等方面进行脆弱性识别 |
| 业务功能脆弱性识别 | 从业务逻辑、功能实现等方面进行脆弱性识别 | |
| 系统工程实现脆弱性识别 | 从系统工程设计与实现、安全功能等方面进行脆弱性识别 | |
| 管理脆弱性识别 | 组织机构 | 从岗位设置、人员配置、审核等方面进行脆弱性识别 |
| 人员管理 | 从人员录用离岗、文档资料等方面进行脆弱性识别 | |
| 制度管理 | 从总体方针和安全策略、制度的修订和发布等方面进行脆弱性识别 | |
| 安全策略 | 从总体安全策略、测试与验收策略、备份与恢复策略等方面进行脆弱性识别 | |
| 系统建设 | 从工程实施、项目变更、系统交付等方面进行脆弱性识别 | |
| 系统运维 | 从网络安全管理、病毒和恶意代码管理、密码管理等方面进行脆弱性识别 | |
| 已有安全措施优先性识别 | 预防性措施 | 识别威胁利用脆弱性导致安全事件发生的可能性 |
| 保护性措施 | 识别减少安全事件发生后对组织或系统造成的影响 | |
| 风险分析 | 风险值计算 | 采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性 |
| 风险结果判定 | 量化风险,风险处理计划,残余风险评估 | |
信息安全风险评估
安赛咨询拥有一批来自HP,IBM等国内国际公司的资深信息安全顾问及国际和国内知名认证公司的资深审核人员组成的服务团队。所有信息安全从业人员均具有10年以上的企业信息安全咨询服务经验。所有人员均具有ISO20000 LA、ISO27001 LA、ISO22301 LA、CISP、CISAW、CIW、 COBIT、ITIL Expert、注册审核员、注册咨询师等资质。另外安全服务人员具有不同的背景专长,技能能够覆盖信息安全涉及的方方面面。
我们服务的客户包括政府、金融、电信、制造、电力、互联网和流程外包行业,在信息技术咨询服务方面是专注的实践者,积累了深厚的实施经验 。是具有CMMI、ISO27001 和ISO20000、ISO22301、ISO9001等多体系集成及技术实现能力的咨询专家。
安赛咨询将“帮助企业形成可持续发展的核心竞争优势”为己任,秉承“诚信、求实、创新”的经营宗旨,坚持“客户导向、结果导向、价值导向”的服务特色,形成了以“品牌、知识、人才、执行”为核心的竞争能力。我们专注于为企业提供:
流程规范与落地实施
管理体系建立(ISO9001)
流程梳理与优化、组织管理
IT治理
IT规划、数据治理、风险评估、安全加固
信息化建设标准、渗透测试服务、IT审计
信息安全/隐私安全管理
信息安全管理体系建设(ISO27001)
隐私安全管理体系建设(ISO27701、ISO29151)
信息安全规划、基础架构安全、数据安全
合规体系建立(GDPR、CPAA、信息安全管理条例)
信息技术服务管理
信息技术服务管理体系建设(ISO20000)
IT服务战略、运营和操作
业务连续性管理
业务连续性管理体系(ISO22301)
BCM、容灾规划、应急响应
安赛咨询在咨询服务过程中,坚持将管理理论的创新成果与现代信息技术发展的最新成就相结合,与企业共同探讨和解决发展中存在的问题。我们所提供的管理模式、业务流程、现代管理技术、信息集成技术和服务,将为企业提供切实可行的解决方案,帮助企业在现实的环境下快速达到可度量的商业价值,提升企业的市场竞争力、管理水平和管理绩效。
信息安全咨询公司
