针对用户业务平台提供全面的分析评估服务以彻底检查和分析组织的信息基础设施,发现安全问题,以确定对信息系统采用什么程度的安全保障力度。
风险评估是对待评估对象的信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结该系统所面临的安全风险,为后续的安全规划和建设提供决策依据。
风险评估服务包括以下主要内容:
组建风险评估小组,成员包括外部评估专家、组织的信息安全负责人、IT代表、业务部门代表、管理层代表等;
按照组织的业务运作流程来识别需要保护的信息资产,并根据估价原则对信息资产进行估价;
弱点识别及评估,包括技术性弱点和非技术性弱点;
对可能存在的各项威胁进行识别和评估;
利用既定的风险评估方法,结合资产、弱点和威胁三个要素,对已识别的风险进行评估,划分风险等级;
识别并评估当前风险控制措施的有效性;
建议风险处理措施和优先顺序。