企業安全評估服務方案承諾守信「多圖」

安全評估服務——安全評估目標

語音在項目評估階段，為了充分了解企業網絡信息系統的當前安全狀況（安全隱患），因此需要對網絡系統進行安全狀況分析。經我系安全小組和該企業信息中心的雙方確認，對如下被選定的項目進行評估。· 管理制度的評估· 物理安全的評估· 計算機系統安全評估· 網絡與通信安全的評估· 日志與統計安全的評估· 安全保障措施的評估· 總體評估

安全評估服務的評估對象及服務內容

評估對象：

通過對當前用戶云上運行的信息系統進行資產識別、威脅識別與分析以及脆弱性識別與分析，從云基礎設施、云上安全設施、云上數據、監控審計措施、應用等方面的進行整體安全性評估。

服務內容：

安全評估的主要對象分為以下幾個層次，各部分相對獨立，而又相互關聯相互作用著，通過對每一層次各方面詳細深入的分析、評估，才能提供一個完整的結果，對整體的信息系統體系進行說明。

安全評估服務介紹

風險評估服務：依據 GB/T20984 風險評估規范，對信息系統的資產、威脅、脆弱性、已有安全措施進行綜合風險識別與分析，幫助客戶掌控系統安全風險現狀，并提供安全解決方案和建議。

漏洞檢測服務：供相應的安全整改建議。滲透測試服務：依據各行業滲透測試實踐，通過工具輔助，主要以人工測試的方式，對客戶授權下的應用系統。

安全評估服務 - 流程介紹

準備階段：

1、確定評估范圍：提出信息系統的目的、需求、規模和安全要求。

2、建立評估組織架構：責任人及編制信息安全評估方案及計劃。

3、項目啟動會議：講解方案計劃明晰責任及流程，輸出會議紀要。

輸出成果：《安全風險評估評估組織》、《保密協議書》、《信息安全風險評估方案與計劃》、《安全風險評估工作啟動會議紀要》等

資產識別：

1、資產收集：業務應用、文檔和數據（網絡拓撲、資產臺賬、相關文檔及數據）、軟硬件資產、物理環境（機房）、組織管理（規章制度）；

2、區分資產重要性：結合業務情況及實際依賴程度區分重要資產與非重要資產；

3、重要資產估值與確認。

輸出成果：《資產識別表》、《重要資產估值表》等。

脆弱性威脅評估：

1、脆弱性評估：1）技術性弱點、2）操作性弱點、3）管理性弱點；

2、威脅評估：1）人員威脅、2）系統威脅、3）環境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風險分析表》、《潛伏威脅評估表》。

防護能力評估：

通過訪談途徑識別現有的安全措施并評估其效力。重點分析場景：

1、漏洞利用防護；

2、身份認證；

3、監控審計；

4、應急備份；

5、其他。

輸出成果：《防護能力評估表》。

風險分析：

1、風險分析方法；

2、風險等級劃分；

3、不可接受風險劃分；

4、風險統計。

輸出成果：《脆弱性、威脅、風險分析表》。

風險處置：

針對不可接受風險提出相應的整改方案及計劃完成時間。

輸出成果：《安全風險評估報告》、《安全風險評估工作總結會議紀要》。