正安时代安全服务

专业安全服务,为您的业务保驾护航

风险评估服务

标准依据

遵循国家相关标准,如 GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等,对客户信息系统进行风险评估。

服务内容

资产识别

对客户信息系统中的资产进行全面识别,包括网络设备、主机、应用程序、数据等,并确定资产价值。

威胁识别

分析可能对客户信息系统造成威胁的因素,如恶意软件、网络攻击、人为失误等。

脆弱性识别

查找信息系统中存在的安全漏洞、配置缺陷、管理薄弱环节等脆弱性。

风险分析与评估

综合考虑资产价值、威胁与脆弱性,运用适当的风险评估方法,对信息系统面临的风险进行分析与评估,确定风险等级。

风险处置建议

根据风险评估结果,为客户提供针对性的风险处置建议,包括风险规避、降低、转移、接受等措施。

风险评估模型示意图

风险评估模型与方法论示意图

风险等级划分标准

风险等级 描述 处置要求
极高风险 可能导致严重损失,如核心业务中断、大量数据泄露、重大经济损失等 必须立即采取措施消除或控制风险,制定专项整改方案
高风险 可能导致较大损失,如业务部分中断、敏感数据泄露等 需在短期内采取措施降低风险,制定明确的整改计划
中风险 可能导致一定损失,如系统性能下降、少量数据泄露等 需在合理期限内采取措施降低风险,纳入常规安全管理
低风险 损失较小或发生概率低,对业务影响有限 可接受风险,通过常规安全措施进行管理,定期复查

服务流程

风险评估服务流程图

风险评估服务流程示意图

  1. 项目启动

    与客户沟通,明确风险评估目标、范围、方法等,组建风险评估团队。

  2. 资产识别

    通过调研、访谈、技术检测等方式,识别客户信息系统资产,并确定资产价值。

  3. 威胁与脆弱性识别

    运用工具扫描、人工分析等方法,识别威胁与脆弱性信息。

  4. 风险分析

    采用风险矩阵、层次分析法等方法,对风险进行分析计算,确定风险等级。

  5. 报告编制

    撰写风险评估报告,包括评估过程、结果、风险处置建议等内容,并向客户汇报。

服务方式

全面风险评估

对客户整个信息系统进行全面、深入的风险评估,涵盖所有资产、威胁和脆弱性。

专项风险评估

针对客户特定业务系统、项目或安全问题进行专项风险评估,聚焦特定领域的风险。

服务成果