信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
安徽国康等级保护测评有限公司信息安全风险评估服务综合国内外相关标准与业界最佳实践,为客户清晰地展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为客户下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。客户可以根据自身信息系统特点来选择相应服务组件。安徽国康也可根据客户的需求以及信息系统的具体情况制定相应的个性化风险评估方案。从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对的抵御威胁的防护对策和整改措施。
信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。
安徽国康积累了多年风险评估的实施经验,可以为不同行业客户提供贴近业务流程安全和数据安全的风险评估,全方位的发现系统存在的安全隐患及风险为安全策略的确定、防护体系的建立提供依据。全力保障核心业务和数据的安全。
