信息安全風險評估是信息安全保障的基礎性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程。服務提供者通過對信息系統(tǒng)提供風險評估服務,系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平,為網(wǎng)絡和信息安全保障提供科學依據(jù)。
服務流程:
一、信息收集:
1、收集整理資產信息表,調研安全評估需求;
二、方案編制:
1、確定測試人員;
2、確定檢查方式;
3、制定風險應對計劃;
4、確定評估時間;
5、確定接入點的位置與方式;
6、制定評估計劃;
三、實施評估:
1、資產識別;
2、風險識別;
3、脆弱性識別;
4、風險計算并輸出風險結果;
5、安全措施方案建議;
6、協(xié)助客戶完成風險管理;
四、報告和總結:
1、編寫綜合分析報告;
2、服務總結和驗收。