信息安全风险 是由于资产的重要性、人为或自然的威胁,利用信息系统及其管理体系的脆弱性,导致安全事件发生所造成的影响。信息系统的安全性可以通过风险的大小来度量,通过科学地分析系统在保密性、完整性、可用性等方面所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。
信息安全风险评估 是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程,是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全管理提供依据。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。杭州安信检测遵照国家《信息安全风险评估规范》(GB/T 20984-2007)及等级保护系列规范,遵循ISO27001以及相关行业规范,从安全技术和安全管理两个层面入手,全面深入分析信息系统存在的脆弱性、威胁和风险,输出风险评估报告和风险处置建议,并进一步协助用户完成安全规划,有步骤有计划地提升用户的信息安全保障水平。杭州安信检测风险评估服务根据服务内容的不同,可以分解为网络安全评估、网站安全评估、应用系统安全评估等多种类型。
风险评估服务的具体内容包括:
● 对资产进行识别,并对资产的价值进行赋值;
● 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
● 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
● 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
● 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失。
风险评估服务流程:
风险评估服务客户价值:
● 认识风险及其对目标的潜在影响;
● 为决策者提供信息;
● 有助于认识风险,以便帮助选择应对策略;
● 识别那些造成风险的主要因素,揭示系统和组织的薄弱环节;
● 有助于明确需要优先处理的风险事件;
● 有助于通过事后调查来进行事故预防;
● 有助于风险应对策略的选择;
● 满足监管要求。
