網(wǎng)絡(luò)安全評(píng)估服務(wù)報(bào)價(jià)-多面魔方技術(shù)有限公司

安全評(píng)估服務(wù)——網(wǎng)絡(luò)安全評(píng)估

　　在信息化建設(shè)中，往往要對(duì)所采購(gòu)的貨物、工程和服務(wù)等就是否滿足網(wǎng)絡(luò)需求進(jìn)行評(píng)估。這里我們將被評(píng)估的對(duì)象分為貨物、工程和服務(wù)等，是引用《采購(gòu)法》中的類別。當(dāng)然，也可以采用不同的類別，不論如何分類，為了滿足網(wǎng)絡(luò)安全的需求，除了對(duì)它們進(jìn)行常規(guī)指標(biāo)（如運(yùn)算速度、容量、價(jià)格……）的評(píng)估外，還需要進(jìn)行專門的評(píng)估，目前這方面通常提出的要求是“自主可控、可靠”。也有人員提出要求“自主可控、可信”，企業(yè)網(wǎng)絡(luò)安全評(píng)估服務(wù)報(bào)價(jià)，這兩種提法很接近，是否需要加以細(xì)分還有待于研究。

安全評(píng)估服務(wù) - 流程介紹

準(zhǔn)備階段：

1、確定評(píng)估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評(píng)估組織架構(gòu)：責(zé)任人及編制信息安全評(píng)估方案及計(jì)劃。

3、項(xiàng)目啟動(dòng)會(huì)議：講解方案計(jì)劃明晰責(zé)任及流程，輸出會(huì)議紀(jì)要。

輸出成果：《安全風(fēng)險(xiǎn)評(píng)估評(píng)估組織》、《保密協(xié)議書》、《信息安全風(fēng)險(xiǎn)評(píng)估方案與計(jì)劃》、《安全風(fēng)險(xiǎn)評(píng)估工作啟動(dòng)會(huì)議紀(jì)要》等

資產(chǎn)識(shí)別：

1、資產(chǎn)收集：業(yè)務(wù)應(yīng)用、文檔和數(shù)據(jù)（網(wǎng)絡(luò)拓?fù)?、資產(chǎn)臺(tái)賬、相關(guān)文檔及數(shù)據(jù)）、軟硬件資產(chǎn)、物理環(huán)境（機(jī)房）、組織管理（規(guī)章制度）；

2、區(qū)分資產(chǎn)重要性：結(jié)合業(yè)務(wù)情況及實(shí)際依賴程度區(qū)分重要資產(chǎn)與非重要資產(chǎn)；

3、重要資產(chǎn)估值與確認(rèn)。

輸出成果：《資產(chǎn)識(shí)別表》、《重要資產(chǎn)估值表》等。

脆弱性威脅評(píng)估：

1、脆弱性評(píng)估：1）技術(shù)性弱點(diǎn)、2）操作性弱點(diǎn)、3）管理性弱點(diǎn)；

2、威脅評(píng)估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》、《潛伏威脅評(píng)估表》。

防護(hù)能力評(píng)估：

通過(guò)訪談途徑識(shí)別現(xiàn)有的安全措施并評(píng)估其效力。重點(diǎn)分析場(chǎng)景：

1、漏洞利用防護(hù)；

2、身份認(rèn)證；

3、監(jiān)控審計(jì)；

4、應(yīng)急備份；

5、其他。

輸出成果：《防護(hù)能力評(píng)估表》。

風(fēng)險(xiǎn)分析：

1、風(fēng)險(xiǎn)分析方法；

2、風(fēng)險(xiǎn)等級(jí)劃分；

3、不可接受風(fēng)險(xiǎn)劃分；

4、風(fēng)險(xiǎn)統(tǒng)計(jì)。

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》。

風(fēng)險(xiǎn)處置：

針對(duì)不可接受風(fēng)險(xiǎn)提出相應(yīng)的整改方案及計(jì)劃完成時(shí)間。

輸出成果：《安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《安全風(fēng)險(xiǎn)評(píng)估工作總結(jié)會(huì)議紀(jì)要》。

怎么開展風(fēng)險(xiǎn)評(píng)估

自評(píng)估

是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，依靠自身的力量參照國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。

檢查評(píng)估

檢查評(píng)估則通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，網(wǎng)絡(luò)安全評(píng)估服務(wù)報(bào)價(jià)，具有強(qiáng)制意味的檢查活動(dòng)，自動(dòng)化網(wǎng)絡(luò)安全評(píng)估服務(wù)報(bào)價(jià)，是通過(guò)行政手段加強(qiáng)信息安全的重要措施。

委托評(píng)估

是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，國(guó)內(nèi)網(wǎng)絡(luò)安全評(píng)估服務(wù)報(bào)價(jià)，委托安全服務(wù)機(jī)構(gòu)，參照國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。