信息安全風(fēng)險(xiǎn)評估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。服務(wù)提供者通過對信息系統(tǒng)提供風(fēng)險(xiǎn)評估服務(wù),系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和安全整改措施,防范和消除信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。
服務(wù)流程:
一、信息收集:
1、收集整理資產(chǎn)信息表,調(diào)研安全評估需求;
二、方案編制:
1、確定測試人員;
2、確定檢查方式;
3、制定風(fēng)險(xiǎn)應(yīng)對計(jì)劃;
4、確定評估時(shí)間;
5、確定接入點(diǎn)的位置與方式;
6、制定評估計(jì)劃;
三、實(shí)施評估:
1、資產(chǎn)識別;
2、風(fēng)險(xiǎn)識別;
3、脆弱性識別;
4、風(fēng)險(xiǎn)計(jì)算并輸出風(fēng)險(xiǎn)結(jié)果;
5、安全措施方案建議;
6、協(xié)助客戶完成風(fēng)險(xiǎn)管理;
四、報(bào)告和總結(jié):
1、編寫綜合分析報(bào)告;
2、服務(wù)總結(jié)和驗(yàn)收。