您好,歡迎來到易龍商務網!
全國咨詢熱線:13051347182
【廣告】
發布時間:2021-08-14 22:18
安全評估服務——安全評估目標
語音在項目評估階段,為了充分了解企業網絡信息系統的當前安全狀況(安全隱患),因此需要對網絡系統進行安全狀況分析。經我系安全小組和該企業信息中心的雙方確認,對如下被選定的項目進行評估。· 管理制度的評估· 物理安全的評估· 計算機系統安全評估· 網絡與通信安全的評估· 日志與統計安全的評估· 安全保障措施的評估· 總體評估
安全評估服務的評估對象及服務內容
評估對象:
通過對當前用戶云上運行的信息系統進行資產識別、威脅識別與分析以及脆弱性識別與分析,從云基礎設施、云上安全設施、云上數據、監控審計措施、應用等方面的進行整體安全性評估。
服務內容:
安全評估的主要對象分為以下幾個層次,各部分相對獨立,而又相互關聯相互作用著,通過對每一層次各方面詳細深入的分析、評估,才能提供一個完整的結果,對整體的信息系統體系進行說明。
安全評估服務介紹
風險評估服務:依據 GB/T20984 風險評估規范,對信息系統的資產、威脅、脆弱性、已有安全措施進行綜合風險識別與分析,幫助客戶掌控系統安全風險現狀,并提供安全解決方案和建議。
漏洞檢測服務:供相應的安全整改建議。滲透測試服務:依據各行業滲透測試實踐,通過工具輔助,主要以人工測試的方式,對客戶授權下的應用系統。
安全評估服務 - 流程介紹
準備階段:
1、確定評估范圍:提出信息系統的目的、需求、規模和安全要求。
2、建立評估組織架構:責任人及編制信息安全評估方案及計劃。
3、項目啟動會議:講解方案計劃明晰責任及流程,輸出會議紀要。
輸出成果:《安全風險評估評估組織》、《保密協議書》、《信息安全風險評估方案與計劃》、《安全風險評估工作啟動會議紀要》等
資產識別:
1、資產收集:業務應用、文檔和數據(網絡拓撲、資產臺賬、相關文檔及數據)、軟硬件資產、物理環境(機房)、組織管理(規章制度);
2、區分資產重要性:結合業務情況及實際依賴程度區分重要資產與非重要資產;
3、重要資產估值與確認。
輸出成果:《資產識別表》、《重要資產估值表》等。
脆弱性威脅評估:
1、脆弱性評估:1)技術性弱點、2)操作性弱點、3)管理性弱點;
2、威脅評估:1)人員威脅、2)系統威脅、3)環境威脅、4)自然威脅;
輸出成果:《脆弱性、威脅、風險分析表》、《潛伏威脅評估表》。
防護能力評估:
通過訪談途徑識別現有的安全措施并評估其效力。重點分析場景:
1、漏洞利用防護;
2、身份認證;
3、監控審計;
4、應急備份;
5、其他。
輸出成果:《防護能力評估表》。
風險分析:
1、風險分析方法;
2、風險等級劃分;
3、不可接受風險劃分;
4、風險統計。
輸出成果:《脆弱性、威脅、風險分析表》。
風險處置:
針對不可接受風險提出相應的整改方案及計劃完成時間。
輸出成果:《安全風險評估報告》、《安全風險評估工作總結會議紀要》。
