?    服務(wù)介紹

 風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過程。

 風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的防護(hù)對(duì)策和整改措施，防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地為保障信息安全提供科學(xué)依據(jù)。

 風(fēng)險(xiǎn)評(píng)估從早期簡單的漏洞掃描、人工審計(jì)、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用ISO17799、GB/T 20984《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)因素、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。

?    服務(wù)意義

      能夠及時(shí)發(fā)現(xiàn)信息安全工作中存在的主要問題和矛盾：日常檢查能及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，分析確定系統(tǒng)風(fēng)險(xiǎn)大小后，采取適當(dāng)?shù)拇胧┤p少、轉(zhuǎn)移，有效避免風(fēng)險(xiǎn)或?qū)L(fēng)險(xiǎn)控制在可以容忍的范圍內(nèi)，提高數(shù)據(jù)的安全性。

      能夠加強(qiáng)信息安全保障體系建設(shè)和管理：信息安全建設(shè)離不開風(fēng)險(xiǎn)評(píng)估，只有正確、全面、清晰地了解風(fēng)險(xiǎn)后，才能在如何控制風(fēng)險(xiǎn)這個(gè)問題上做出正確合理的判斷，從而加強(qiáng)信息安全保障體系的建設(shè)和管理。

?    服務(wù)步驟

      風(fēng)險(xiǎn)辨識(shí)：對(duì)系統(tǒng)進(jìn)行評(píng)估之前，首先需要對(duì)于每一個(gè)業(yè)務(wù)中的單元、各種相關(guān)的活動(dòng)、以及業(yè)務(wù)流程里面的重要環(huán)節(jié)都進(jìn)行反復(fù)的排查與辨識(shí)，在整體上對(duì)于系統(tǒng)存在的風(fēng)險(xiǎn)情況進(jìn)行初步估計(jì)與判斷。

      風(fēng)險(xiǎn)分析：對(duì)于有風(fēng)險(xiǎn)辨識(shí)度的項(xiàng)目或是流程，需進(jìn)行仔細(xì)的分析，判斷其風(fēng)險(xiǎn)特征，并使用明確的定義對(duì)其進(jìn)行描述，使其更加精準(zhǔn)，特別是對(duì)于明確風(fēng)險(xiǎn)的發(fā)生條件及程度高低應(yīng)盡可能使用數(shù)字或是檔位來進(jìn)行定義，從而更直觀的認(rèn)知到這些風(fēng)險(xiǎn)的發(fā)生可能性以及可能造成的后果。

      風(fēng)險(xiǎn)評(píng)價(jià)：最后一步是進(jìn)行風(fēng)險(xiǎn)的最終評(píng)價(jià)，也是進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)，對(duì)組織方案、運(yùn)營目標(biāo)的最終影響程度、風(fēng)險(xiǎn)的可能性與價(jià)格以及可能的后果都進(jìn)行明確的量化評(píng)估，從而使得客戶可以更為明確地了解到是否應(yīng)該繼續(xù)采用該方案，其自身是否足以承擔(dān)相關(guān)風(fēng)險(xiǎn)。

?    服務(wù)流程