信息安全风险评估服务

       信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

      信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。
      信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。
      能信安信息安全风险评估采用定性方法,定性分析方法是目前采用最为广泛的一种方法,它带有较强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,脆弱性被利用的容易度,现有控制措施的效果等)的大小或高低程度定性分级,例如"高"、"中"、"低"三级。
     定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。



信息安全风险评估服务服务的主要工作



资产识别

对信息资产安全价值进行分析和评估,确定重要资产。


威胁识别

对信息资产面临的安全威胁进行分析,确定信息资产所面临的主要安全威胁。



脆弱性识别

对信息资产存在的安全漏洞(包括技术和管理两个方面)进行分析,确定信息资产的脆弱性


现有安全措施有效性分析



对已采取的控制措施进行识别并对控制措施的有效性进行确认。



风险识别

在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。