風(fēng)險(xiǎn)評(píng)估
什么是信息安全風(fēng)險(xiǎn)評(píng)估?
信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風(fēng)險(xiǎn)管理措施的過(guò)程。
簡(jiǎn)單來(lái)說(shuō)就是在信息系統(tǒng)在接入互聯(lián)網(wǎng)之前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,提前確定系統(tǒng)的網(wǎng)絡(luò)安全漏洞情況,是否符合系統(tǒng)入網(wǎng)安全評(píng)估的測(cè)評(píng)標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的標(biāo)準(zhǔn)。
不做風(fēng)險(xiǎn)評(píng)估的后果!
如果應(yīng)用系統(tǒng)未經(jīng)上線前檢測(cè)直接上線,在上線后由于存在類似SQL注入、跨站腳本、木馬文件上傳等漏洞而遭受攻擊,可能直接影響系統(tǒng)正常業(yè)務(wù)運(yùn)行,甚至造成經(jīng)濟(jì)和名譽(yù)的損失,再加上有些漏洞涉及代碼改寫,考慮到業(yè)務(wù)連續(xù)性的要求,上線后再進(jìn)行代碼整改修復(fù)漏洞,成本更為巨大。因系統(tǒng)漏洞造成網(wǎng)絡(luò)安全事故,違背網(wǎng)絡(luò)安全法,直接責(zé)任人,主管責(zé)任人將會(huì)按照網(wǎng)絡(luò)安全法依法處罰。
什么場(chǎng)景需要進(jìn)行風(fēng)險(xiǎn)評(píng)估?
1、內(nèi)部信息系統(tǒng)自測(cè)評(píng)需要
一般一些大型的信息系統(tǒng),在接入網(wǎng)絡(luò)之前,都需要第三方提供入網(wǎng)安全測(cè)評(píng)報(bào)告,這樣可以作為信息系統(tǒng)正式上線前的測(cè)評(píng),為系統(tǒng)是否可以正式開始進(jìn)行運(yùn)作提供參考依據(jù)。另外,當(dāng)大型系統(tǒng)進(jìn)行了功能升級(jí)或者系統(tǒng)變更時(shí),也需要出具入網(wǎng)安全評(píng)估報(bào)告。一般來(lái)說(shuō),醫(yī)院業(yè)務(wù)系統(tǒng)、電力系統(tǒng)、金融系統(tǒng)、行政系統(tǒng)等等大型信息系統(tǒng),會(huì)通過(guò)公開招標(biāo)的方式來(lái)尋找合適的入網(wǎng)安評(píng)服務(wù)商。
2、第三方開發(fā)的信息系統(tǒng)驗(yàn)收時(shí)
客戶要求在驗(yàn)收時(shí)出具入網(wǎng)安全評(píng)估報(bào)告時(shí),進(jìn)行入網(wǎng)安全測(cè)評(píng)后客戶才可以更放心的使用您為他開發(fā)的信息系統(tǒng),特別是一些涉及公司或單位的敏感數(shù)據(jù)的系統(tǒng),更是需要入網(wǎng)安全測(cè)評(píng)。否則,一旦出現(xiàn)安全事故,對(duì)業(yè)主交產(chǎn)生非常嚴(yán)重的影響。而對(duì)于技術(shù)提供商來(lái)說(shuō),如果沒有開展入網(wǎng)安全評(píng)估,信息系統(tǒng)安全問(wèn)題帶來(lái)的問(wèn)題,很難分清楚責(zé)任歸屬,而且很有可能會(huì)需要承擔(dān)一定的賠償責(zé)任。
3、信息系統(tǒng)或軟件作為產(chǎn)品推廣時(shí)
當(dāng)公司開發(fā)了具體一定通用性的信息系統(tǒng)或者軟件并規(guī)劃為產(chǎn)品進(jìn)行推廣銷售時(shí),入網(wǎng)安全測(cè)評(píng)是非常重要的,入網(wǎng)安全測(cè)評(píng)報(bào)告是產(chǎn)品參數(shù)非常必要的一項(xiàng)。近幾年國(guó)家公安部和網(wǎng)信辦對(duì)信息化產(chǎn)品的安全規(guī)范越來(lái)越嚴(yán)格,產(chǎn)品具備入網(wǎng)安全測(cè)評(píng)報(bào)告不但能滿足安全規(guī)范,同時(shí)也能大大提高客戶的信任度和產(chǎn)品的競(jìng)爭(zhēng)力,有利于產(chǎn)品的推廣和銷售。
做風(fēng)險(xiǎn)評(píng)估會(huì)給企業(yè)帶來(lái)的好處!
1.更準(zhǔn)確地認(rèn)識(shí)風(fēng)險(xiǎn)
2.系統(tǒng)地評(píng)估資產(chǎn)各種風(fēng)險(xiǎn)事件發(fā)生的概率大小、概率分布,及發(fā)生后損失的嚴(yán)重程度,幫助區(qū)分主要風(fēng)險(xiǎn)和次要風(fēng)險(xiǎn)。
3.保證規(guī)劃的合理和可行性
4.正確反映各風(fēng)險(xiǎn)對(duì)信息安全的不同影響,使規(guī)劃的結(jié)果更合理可靠,使在此基礎(chǔ)上制定的計(jì)劃具有現(xiàn)實(shí)的可行性。
選擇最佳風(fēng)險(xiǎn)對(duì)策組合
風(fēng)險(xiǎn)對(duì)策會(huì)付出一定代價(jià),需將不同風(fēng)險(xiǎn)對(duì)策的適用性與不同風(fēng)險(xiǎn)的后果結(jié)合考慮,使不同風(fēng)險(xiǎn)選擇適宜的風(fēng)險(xiǎn)對(duì)策,形成最佳風(fēng)險(xiǎn)對(duì)策組合。
服務(wù)流程
STEP1 評(píng)估準(zhǔn)備
1.項(xiàng)目成員人、工具包、訪談表單、流程
2.制定風(fēng)險(xiǎn)評(píng)估方案
3.了解應(yīng)用系統(tǒng)、主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)環(huán)境、安全設(shè)備、組織架構(gòu)、管理制度等。
STEP2 技術(shù)評(píng)估
1.漏掃評(píng)估:對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件(賬戶安全、訪問(wèn)控制、網(wǎng)絡(luò)安全等27項(xiàng));
2.應(yīng)用評(píng)估:安全功能、日常維護(hù)(身份認(rèn)證、訪問(wèn)權(quán)限控制、傳輸安全等12項(xiàng));
3.滲透測(cè)試:業(yè)務(wù)系統(tǒng)、APP程序、微信小程序(信息泄露、注入漏洞、邏輯漏洞等15項(xiàng))。
STEP3 管理評(píng)估
1.技術(shù)管理評(píng)估:物理環(huán)境、通信與操作管理、訪問(wèn)控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。
2.組織管理評(píng)估:安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性。
STEP4 評(píng)估報(bào)告
1.列出在風(fēng)險(xiǎn)評(píng)估工作中,發(fā)現(xiàn)的重要資產(chǎn)分布、脆弱性分布及綜合威脅分布。
2.詳細(xì)描述發(fā)現(xiàn)的安全風(fēng)險(xiǎn)現(xiàn)狀及評(píng)估分析結(jié)果。
3.提出相關(guān)風(fēng)險(xiǎn)控制方案,為之后的加固整改提出合理化建議。
服務(wù)優(yōu)勢(shì)
專業(yè)化項(xiàng)目管理
嚴(yán)格按照項(xiàng)目管理標(biāo)準(zhǔn),制訂嚴(yán)謹(jǐn)?shù)捻?xiàng)目實(shí)施計(jì)劃,項(xiàng)目經(jīng)理全程把控項(xiàng)目進(jìn)度。
資深評(píng)估專家
安全行業(yè)資深領(lǐng)域?qū)<?,行業(yè)顧問(wèn)專門負(fù)責(zé)資產(chǎn)評(píng)估和管理評(píng)估工作,保證評(píng)估結(jié)果的可靠性。
安全技術(shù)大牛
業(yè)內(nèi)從業(yè)多年的白帽子技術(shù)專家專職負(fù)責(zé)技術(shù)評(píng)估,技術(shù)培訓(xùn)工作。保證技術(shù)可靠性。
針對(duì)性整改方案
全面分析評(píng)估結(jié)果報(bào)告,形成風(fēng)險(xiǎn)控制方案,安全管理制度,漏洞整改建議。全面提升資產(chǎn)安全性,降低安全風(fēng)險(xiǎn)。
新ICP備12000417號(hào)-1 新公安網(wǎng)備65010302000270號(hào)版權(quán)所有?新疆惠文網(wǎng)絡(luò)信息系統(tǒng)工程有限公司版權(quán)所有 未經(jīng)許可 嚴(yán)禁復(fù)制