风险评估

在安全评估服务中，信网安检测参照安全模型，根据自己的工程实践，建立了自己的风险评估模型。

在信网安检测的风险评估模型中，主要包含信息资产、弱点/脆弱性、威胁和风险等要素。

每个要素有各自的属性:

信息资产的属性是资产价值；

弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度；

威胁的属性是威胁发生的可能；

风险的属性是风险发生的路径；

安全措施的属性是保护的方法；

应用业务的属性是安全运行；

因此，信网安检测风险评估的过程是：

识别信息系统的应用和业务，业务所涉及资产；

对信息资产进行识别，并对资产赋值；

识别信息资产的脆弱性（弱点/漏洞），并对弱点的严重程度赋值；

对威胁进行分析，并对威胁发生的可能性赋值；

综合分析当前具备的安全措施及其作用；

综合分析资产价值、资产的脆弱性和威胁发生的可能性，得到信息资产的风险发生的路径和级别，并对风险进行处置，选择合适的控制措施；

综合评定应用和业务的安全性；

给出安全建议、安全管理体系建设服务。

风险评估流程

信息安全风险评估技术作为一种风险管理的方法，便是从风险管理角度，依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和储存的信息的机密性、完整性和可用性等安全属性进行评价的过程。

风险评估