等保安全評估-多面魔方技術服務公司-等保安全評估報價

網絡安全風險評估流程圖

? ? ??風險評估工作主要依據GB/T 20984-2015《信息安全技術信息安全風險評估規(guī)范》進行，總體的工作流程可以分成資產評估階段、威脅評估階段、脆弱性評估階段、風險綜合分析階段和風險處置計劃階段。對評估范圍內的所有資產進行識別，并調查資產破壞后可能造成的損失大小，根據危害和損的大小為資產進行相對賦值；資產包括硬件、軟件、服務、信息和人員等。

? ? ?風險評估的實施流程，如下圖所示：

安全評估服務 - 流程介紹

準備階段：

1、確定評估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評估組織架構：責任人及編制信息安全評估方案及計劃。

3、項目啟動會議：講解方案計劃明晰責任及流程，等全評估方案，輸出會議紀要。

輸出成果：《安全風險評估評估組織》、《保密協議書》、《信息安全風險評估方案與計劃》、《安全風險評估工作啟動會議紀要》等

資產識別：

1、資產收集：業(yè)務應用、文檔和數據（網絡拓撲、資產臺賬、相關文檔及數據）、軟硬件資產、物理環(huán)境（機房）、組織管理（規(guī)章制度）；

2、區(qū)分資產重要性：結合業(yè)務情況及實際依賴程度區(qū)分重要資產與非重要資產；

3、重要資產估值與確認。

輸出成果：《資產識別表》、《重要資產估值表》等。

脆弱性威脅評估：

1、脆弱性評估：1）技術性弱點、2）操作性弱點、3）管理性弱點；

2、威脅評估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風險分析表》、《潛伏威脅評估表》。

防護能力評估：

通過訪談途徑識別現有的安全措施并評估其效力。重點分析場景：

1、漏洞利用防護；

2、身份認證；

3、監(jiān)控審計；

4、應急備份；

5、其他。

輸出成果：《防護能力評估表》。

風險分析：

1、風險分析方法；

2、風險等級劃分；

3、不可接受風險劃分；

4、風險統(tǒng)計。

輸出成果：《脆弱性、威脅、風險分析表》。

風險處置：

針對不可接受風險提出相應的整改方案及計劃完成時間。

輸出成果：《安全風險評估報告》、《安全風險評估工作總結會議紀要》。

風險處置有什么方法

風險處置目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。

1、風險接受：接受潛在的風險并繼續(xù)運行信息系統(tǒng)，等全評估介紹，不對風險進行處理。

2、風險降低：通過實現安全措施來降低風險，等全評估，從而將脆弱性被威脅源利用后可能帶來的不利影響降低。

3、風險規(guī)避：不介入風險，通過風險的原因和/或后果來規(guī)避風險。

4、風險轉移：通過使用其它措施來補償損失，從而轉移風險，如購買保險。