识风险 有妙招 ——启明星辰风险评估服务

发布时间 2020-05-13

近年来,信息安全风险评估工作逐步在国家基础信息网络及重要行业信息系统中普遍推行。如此被重视的风险评估到底是什么呢??


信息安全风险评估是指依据国际国内信息安全技术与管理标准,评估信息系统脆弱性、所面临威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,以此识别信息安全风险的过程,并提出有针对性的抵御威胁的防护对策和整改措施,将风险控制在可接受的水平,从而最大限度地保障信息安全。同时,信息安全风险评估也是一项重要的基础服务,为等级保护建设、安全保障体系设计、信息安全规划等工作提供了基础数据。



了解风险评估基本内容之后我们再来看一看启明星辰风险评估服务。


它通过综合国内外相关标准与业界最佳实践,识别和评估客户信息资产重要性、威胁频率、脆弱性严重程度及已有安全措施的有效性等要素,为客户清晰的展现信息系统所面临的安全风险,并提供公正、客观数据作为决策参考,为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。


主要由资产评估、威胁评估、脆弱性评估、风险综合分析、风险处置计划五个部分组成。



风险评估内容


启明星辰风险评估服务产品主要包括技术评估和管理评估两个方面内容。


1、 技术评估

包括物理环境、网络安全、主机系统安全、应用系统安全、数据安全五个方面。


2、 管理评估

包括安全管理组织、安全管理策略、安全管理制度、人员安全管理、系统运维管理五个方面,或在需要时增加系统建设管理制度的内容。



实施依据



实施流程


启明星辰风险评估服务参考国标GBT20984和GBT31509等标准和业界最佳服务实践,将风险评估划分为五个阶段:


1、计划准备阶段

落实项目所需的人员、设备、资料等资源,制定项目实施计划和项目实施方案,并进行信息系统资产调研。


2、风险识别阶段

对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值。


3、风险分析阶段

对识别阶段中获得的各类信息进行关联分析,计算风险值,编写风险评估报告。


4、风险处理阶段

对评估出的风险,提出相应的处置建议,按照处置建议实施安全加固后,进行残余风险处理等内容,同时组织专家评审会。


5、服务验收阶段

交付所有的评估服务工作成果,并进行服务验收。



实施方法



服务特色


1、完善的服务方法论

启明星辰风险评估服务在完善的服务方法论的基础上,紧跟国际国内最新技术,融合风险评估各项标准(包括GB/T20984、GB/T 31509、GB/Z 24364等)及网络安全法的最新要求,是业界全面的、极新的风险评估服务。


2、专业的安全服务团队

启明星辰拥有国内专业的安全服务团队,包括产品开发团队、黑客攻防技术团队(积极防御实验室(ADLab))、安全服务中心、前线技术专家团(VF)、首家安全博士后工作站。而启明星辰专业安全服务团队是由一批经验丰富、富有责任心和使命感的专业技术人员组成,众多人拥有CISP、CISSP、CISA、ISO20000、ISO27001等证书及能力。


3、丰富的服务实践经验

启明星辰参与制订了国内多个安全产品、风险评估、安全服务相关标准规范,并为三大运营商集团总公司及70多家省级分公司、银行、电力、烟草等重要行业提供风险评估服务,拥有近千个大型信息系统风险评估项目经验。



客户收益


1、资产识别

帮助客户对组织内资产进行梳理和分级管理,通过定量分析,明确各信息系统对客户的重要程度,通过有效整合信息系统的安全需求,在有限的资源环境下,更好地提高客户的信息安全水平。


2、平衡安全风险与成本

帮助客户在安全建设过程中综合平衡安全风险与成本代价,实现在最低资源消耗的情况下,达到最大的安全水平


3、识别风险

梳理资产,识别资产的重要性。分析所面临的威胁、认识自身脆弱性、帮助客户了解信息系统的安全状况和信息安全管理漏洞,明确当前的安全风险。


4、建设指导

及时全面掌握客户IT环境的安全现状和面临的风险,并提出改进建议,降低风险,为客户各类信息安全规划建设奠定基石。


定期风险评估,帮助客户了解信息安全改进情况与发展方向,为未来信息安全工作提供依据和参考。


5、业务保障

可以帮助客户及时发现和修复网络与信息系统的安全问题,使安全风险降低到可以接受并且可以被有效管理的范围内,保障客户组织内信息系统稳定运行和业务连续性,预防信息安全事故,保证客户业务的连续性。


启明星辰基于完善的服务方法论、丰富的服务实践经验、专业的安全服务团队,致力为客户提供优质、高效、系统的风险评估服务,为组织识别风险并提供有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大限度保障组织的信息安全。