等保安全評估-多面魔方有限公司-等保安全評估服務(wù)

脆弱性的分類

脆弱性是針對每一個需要保護(hù)的信息資產(chǎn)所存在的弱點(diǎn)，等全評估，常見的弱點(diǎn)有三類：

1、技術(shù)型弱點(diǎn)——系統(tǒng)、程序 、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞。

2、操作型弱點(diǎn)——軟件和系統(tǒng)在配置、操作、使用中的缺陷，包含人員在日常工作中的不良習(xí)慣，審計(jì)和備份的缺失等。

3、管理型的弱點(diǎn)——策略、程序 、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。

什么是定性分析方法

? ? ? 定性分析方法是目前采用的主流的一種風(fēng)險(xiǎn)評估方法，等全評估報(bào)價(jià)，它帶有較強(qiáng)主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺，等全評估價(jià)格，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素（資產(chǎn)價(jià)值、威脅的可能性、現(xiàn)有安全防護(hù)的效力等）的大小或者高低程序定性分級，例如“極高”，“高”，等全評估服務(wù)，“中”，”低“，”極低“五極。

? ? ? 定性分析的操作方法可以多種多樣，包含頭腦風(fēng)暴、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對容易，定性分析要求分析者具備一定的經(jīng)驗(yàn)和能力。

安全評估服務(wù) - 流程介紹

準(zhǔn)備階段：

1、確定評估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評估組織架構(gòu)：責(zé)任人及編制信息安全評估方案及計(jì)劃。

3、項(xiàng)目啟動會議：講解方案計(jì)劃明晰責(zé)任及流程，輸出會議紀(jì)要。

輸出成果：《安全風(fēng)險(xiǎn)評估評估組織》、《保密協(xié)議書》、《信息安全風(fēng)險(xiǎn)評估方案與計(jì)劃》、《安全風(fēng)險(xiǎn)評估工作啟動會議紀(jì)要》等

資產(chǎn)識別：

1、資產(chǎn)收集：業(yè)務(wù)應(yīng)用、文檔和數(shù)據(jù)（網(wǎng)絡(luò)拓?fù)?、資產(chǎn)臺賬、相關(guān)文檔及數(shù)據(jù)）、軟硬件資產(chǎn)、物理環(huán)境（機(jī)房）、組織管理（規(guī)章制度）；

2、區(qū)分資產(chǎn)重要性：結(jié)合業(yè)務(wù)情況及實(shí)際依賴程度區(qū)分重要資產(chǎn)與非重要資產(chǎn)；

3、重要資產(chǎn)估值與確認(rèn)。

輸出成果：《資產(chǎn)識別表》、《重要資產(chǎn)估值表》等。

脆弱性威脅評估：

1、脆弱性評估：1）技術(shù)性弱點(diǎn)、2）操作性弱點(diǎn)、3）管理性弱點(diǎn)；

2、威脅評估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》、《潛伏威脅評估表》。

防護(hù)能力評估：

通過訪談途徑識別現(xiàn)有的安全措施并評估其效力。重點(diǎn)分析場景：

1、漏洞利用防護(hù)；

2、身份認(rèn)證；

3、監(jiān)控審計(jì)；

4、應(yīng)急備份；

5、其他。

輸出成果：《防護(hù)能力評估表》。

風(fēng)險(xiǎn)分析：

1、風(fēng)險(xiǎn)分析方法；

2、風(fēng)險(xiǎn)等級劃分；

3、不可接受風(fēng)險(xiǎn)劃分；

4、風(fēng)險(xiǎn)統(tǒng)計(jì)。

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》。

風(fēng)險(xiǎn)處置：

針對不可接受風(fēng)險(xiǎn)提出相應(yīng)的整改方案及計(jì)劃完成時間。

輸出成果：《安全風(fēng)險(xiǎn)評估報(bào)告》、《安全風(fēng)險(xiǎn)評估工作總結(jié)會議紀(jì)要》。