等级保护工作五大步骤

 

 

定级、备案、建设整改、等保测评、监督检查

客观    公正   科学   保密

厦门信网安检测技术有限公司

  Xiamen Xinwangan Testing Technology CO.LTD

 

风险评估

在安全评估服务中,信网安检测参照安全模型,根据自己的工程实践,建立了自己的风险评估模型。

在信网安检测的风险评估模型中,主要包含信息资产、弱点/脆弱性、威胁和风险等要素。

每个要素有各自的属性:

信息资产的属性是资产价值;

弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度;

威胁的属性是威胁发生的可能;

风险的属性是风险发生的路径;

安全措施的属性是保护的方法;

应用业务的属性是安全运行;

因此,信网安检测风险评估的过程是:

识别信息系统的应用和业务,业务所涉及资产;

对信息资产进行识别,并对资产赋值;

识别信息资产的脆弱性(弱点/漏洞),并对弱点的严重程度赋值;

对威胁进行分析,并对威胁发生的可能性赋值;

综合分析当前具备的安全措施及其作用;

综合分析资产价值、资产的脆弱性和威胁发生的可能性,得到信息资产的风险发生的路径和级别,并对风险进行处置,选择合适的控制措施;

综合评定应用和业务的安全性;

给出安全建议、安全管理体系建设服务。

风险评估流程

信息安全风险评估技术作为一种风险管理的方法,便是从风险管理角度,依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和储存的信息的机密性、完整性和可用性等安全属性进行评价的过程。

风险评估