識風險 有妙招 ——啟明星辰風險評估服務

發布時間 2020-05-13

近年來,信息安全風險評估工作逐步在國家基礎信息網絡及重要行業信息系統中普遍推行。如此被重視的風險評估到底是什么呢??


信息安全風險評估是指依據國際國內信息安全技術與管理標準,評估信息系統脆弱性、所面臨威脅及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,以此識別信息安全風險的過程,并提出有針對性的抵御威脅的防護對策和整改措施,將風險控制在可接受的水平,從而最大限度地保障信息安全。同時,信息安全風險評估也是一項重要的基礎服務,為等級保護建設、安全保障體系設計、信息安全規劃等工作提供了基礎數據。



了解風險評估基本內容之后我們再來看一看啟明星辰風險評估服務。


它通過綜合國內外相關標準與業界最佳實踐,識別和評估客戶信息資產重要性、威脅頻率、脆弱性嚴重程度及已有安全措施的有效性等要素,為客戶清晰的展現信息系統所面臨的安全風險,并提供公正、客觀數據作為決策參考,為下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。


主要由資產評估、威脅評估、脆弱性評估、風險綜合分析、風險處置計劃五個部分組成。



風險評估內容


啟明星辰風險評估服務產品主要包括技術評估和管理評估兩個方面內容。


1、 技術評估

包括物理環境、網絡安全、主機系統安全、應用系統安全、數據安全五個方面。


2、 管理評估

包括安全管理組織、安全管理策略、安全管理制度、人員安全管理、系統運維管理五個方面,或在需要時增加系統建設管理制度的內容。



實施依據



實施流程


啟明星辰風險評估服務參考國標GBT20984和GBT31509等標準和業界最佳服務實踐,將風險評估劃分為五個階段:


1、計劃準備階段

落實項目所需的人員、設備、資料等資源,制定項目實施計劃和項目實施方案,并進行信息系統資產調研。


2、風險識別階段

對評估活動中的各類關鍵要素資產、威脅、脆弱性、安全措施進行識別與賦值。


3、風險分析階段

對識別階段中獲得的各類信息進行關聯分析,計算風險值,編寫風險評估報告。


4、風險處理階段

對評估出的風險,提出相應的處置建議,按照處置建議實施安全加固后,進行殘余風險處理等內容,同時組織專家評審會。


5、服務驗收階段

交付所有的評估服務工作成果,并進行服務驗收。



實施方法



服務特色


1、完善的服務方法論

啟明星辰風險評估服務在完善的服務方法論的基礎上,緊跟國際國內最新技術,融合風險評估各項標準(包括GB/T20984、GB/T 31509、GB/Z 24364等)及網絡安全法的最新要求,是業界全面的、極新的風險評估服務。


2、專業的安全服務團隊

啟明星辰擁有國內專業的安全服務團隊,包括產品開發團隊、黑客攻防技術團隊(積極防御實驗室(ADLab))、安全服務中心、前線技術專家團(VF)、首家安全博士后工作站。而啟明星辰專業安全服務團隊是由一批經驗豐富、富有責任心和使命感的專業技術人員組成,眾多人擁有CISP、CISSP、CISA、ISO20000、ISO27001等證書及能力。


3、豐富的服務實踐經驗

啟明星辰參與制訂了國內多個安全產品、風險評估、安全服務相關標準規范,并為三大運營商集團總公司及70多家省級分公司、銀行、電力、煙草等重要行業提供風險評估服務,擁有近千個大型信息系統風險評估項目經驗。



客戶收益


1、資產識別

幫助客戶對組織內資產進行梳理和分級管理,通過定量分析,明確各信息系統對客戶的重要程度,通過有效整合信息系統的安全需求,在有限的資源環境下,更好地提高客戶的信息安全水平。


2、平衡安全風險與成本

幫助客戶在安全建設過程中綜合平衡安全風險與成本代價,實現在最低資源消耗的情況下,達到最大的安全水平


3、識別風險

梳理資產,識別資產的重要性。分析所面臨的威脅、認識自身脆弱性、幫助客戶了解信息系統的安全狀況和信息安全管理漏洞,明確當前的安全風險。


4、建設指導

及時全面掌握客戶IT環境的安全現狀和面臨的風險,并提出改進建議,降低風險,為客戶各類信息安全規劃建設奠定基石。


定期風險評估,幫助客戶了解信息安全改進情況與發展方向,為未來信息安全工作提供依據和參考。


5、業務保障

可以幫助客戶及時發現和修復網絡與信息系統的安全問題,使安全風險降低到可以接受并且可以被有效管理的范圍內,保障客戶組織內信息系統穩定運行和業務連續性,預防信息安全事故,保證客戶業務的連續性。


啟明星辰基于完善的服務方法論、豐富的服務實踐經驗、專業的安全服務團隊,致力為客戶提供優質、高效、系統的風險評估服務,為組織識別風險并提供有針對性的防護對策和整改措施,將風險控制在可接受的水平,最大限度保障組織的信息安全。