【宏儒顾问】信息安全风险评估咨询
信息安全风险评估是信息安全管理的基础和关键环节。通过开展信息安全风险评估,对网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析,可以做到心中有数,可以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行管理。
【宏儒顾问】凭借丰富的信息安全风险管理经验,设计了一套切实可靠的风险评估流程。从风险管理角度入手,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性地提出抵御威胁的整改措施,从而最大限度地减少经济损失和负面影响。
评估准备阶段:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理与实施团队,对主要业务、组织结构、规章制度和信息系统等进行初步调研,沟通和确定风险分析方法,协商并确定评估项目的实施方案,并得到被评估单位的高层许可。尽管评估准备阶段的工作比较琐碎,但准备阶段中充分、细致的沟通和合理、精确的计划,是保证评估工作得以顺利实施的关键。
要素识别阶段:在准备阶段完成之后,将依靠已经建立起来的评估管理和实施团队,遵照准备阶段中确定的实施方案进行评估。首先要进行的就是识别信息安全风险的构成要素——资产、威胁和脆弱性,以及识别和验证已有安全控制措施的有效性——为下一阶段的风险分析收集必要的基础数据。本阶段除了要进行有关要素的识别活动以外,还需要进行要素的分类、赋值以及要素间的关联等活动,这由所选用的具体评估方法而定。
风险分析阶段:经过识别阶段之后,已经得到影响被评估信息系统信息安全风险的基本数据,包括资产、威胁、脆弱性和安全控制措施等。接下来需要根据被评估单位的实际情况制定出一套合理、清晰的影响及可能性等级判据;然后根据这些判据,对主要威胁场景进行分析,描述和评价个主要威胁场景的潜在影响及其发生的可能性,从而确定信息安全风险。经过与被评估单位的沟通与协商,风险分析团队应以被评估单位所能接受的形式,提交《风险分析报告》和《风险控制建议》。
汇报验收阶段:本阶段主要是按照评估方案所确定的汇报和验收流程,完成最后评估项目的总结和验收工作。
***
***
***
***
***
***
***
***
***
***