站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 盛世博威 >> 解决方案 >> 按技术分类 >> 安全评估 >> 山东盛世博威:安全评估
  • ·: 山东盛世博威:安全评估
  • 编号: pg1
  • 浏览次数: 45

好友推荐

 

一、风险估概述

信息安全风险评估是明确安全现状规划安全工作制订安全策略形成安全解决方案的基础风险评估是一个识别控制降低或消除可能影响信息系统的安全风险的过程。风险评估可帮助组织完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,分析业务运作和组织管理方面存在的安全缺陷,评估重要业务应用系统自身存在的安全风险评价业务安全风险承担能力并给出风险等级利用风险评估管理系统扩展评估过程和评估结果为组织提出建立风险控制建议,有利于组织对信息系统实施风险管理。

二、风险评估的标准

信息安全风险评估时主要参考如下标准:

BS7799-1ISO/IEC17799:2005) ISO/IECTR13335

信息技术安全评估公共标准 C C

AS/NZS 4360 风险管理标准 NIST SP800-53/60

COBIT

GBT20984—2007安全息安评估范》

安全估指

……等等

三、风险估的方法

1.性化方法

虽然已经有许多标准评估方法和流程但在实践过程中根据企业的特点及安全风险评估的能力进行基因重组个性化的评估方法使得评估服务 具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、透测试、 边界评估网络结构评估脆弱性扫描管理评估策略评估业务系统风险评 估等。

2.体框

风险评估的目的不仅在于明确风险更重要的是为管理风险提供基础和依据作为评估直接输出用于进行风险管理的安全整体框架至少应该明确但 是由于不同企业环境差异需求差异加上在操作层面可参考的模板很少使得 整体框架应用较少。但是,企业至少应该完成近期1~2年内框架这样才能做 到有律可依。

3.决策

不同层面的用户能看到不同的问题要全面了解风险必须进行多用户沟通评估将评估过程作为多用户决策过程于了解风险理解风险管理风险、 落实行动具有极大的意义事实证明多用户参与的效果非常明显多用户决 策评估,也需要一个具体的流程和方法。

4.分析

由于企业的系统越发复杂且互相关联使得风险越来越隐蔽要提高评估效果必须进行深入关联分析比如对一个老漏洞不是简单地分析它的影响和解 决措施而是要推断出可能相关的其他技术和管理漏洞找出病开出有效 的处方

四、特点

符合国际、国内、行业的风险评估和管理标准;涉及IT运维和IT治的各个层面;定制化的服务,帮助客户迅速发现信息安全的关键点

五、适用

需要了解企业安全现状的客户;当企业进行IT规划计时;在企业发生计算机安全事件后,或怀疑可能会发生安全事件时;关心组织现有的信息安全措施是否有效时;当需要对组织安全状况进行周期性评估,以查看是否满足组织持续运营时。

六、用户

风险评估服务可以帮助客户明确资产的配置和分布业务运行模式网络体 系结构技术基础结构资产环境以及信息安全策略和制度等信息准确了解企 业的网络、系统以及管理的安全现状。

全面给出业务系统面临的安全隐患和脆弱性报告使用户对信息安全各个层 次的安全性状况和整体安全状况有全面具体的了解。

清晰的展现信息系统当前的安全现状提供公正客观翔实的数据作为决 策参考企业可以在投资提升安全降低风险承受风险转移风险等方面做出 正确的选择。

山东盛世博威通信技术有限公司