概述
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
法律法规及标准
法律法规
《网络安全法》
《数据安全法》
《个人信息保护法》
《信息安全等级保护管理办法》
国家标准
GB/T 20984-2022《信息安全技术 信息安全风险评估方法》
GB/T31509-2015 《信息安全技术 信息安全风险评估实施指南》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
GB/T 22080-2016《信息技术安全技术信息安全管理体系要求》
服务内容
|
准备与范围界定 |
对齐评估目标(合规 / 上线检查等)、定范围 / 方法 / 工具,输出《评估方案》《范围确认书》 |
|
资产识别与价值评估 |
梳理软硬件、数据、人员等资产,按 “机密性(C)、完整性(I)、可用性(A)” 赋值,输出《资产清单》《价值评估表》 |
|
威胁 & 脆弱性识别 |
识外部(黑客 / 恶意代码)、内部(误操作 / 泄露)、环境威胁,测技术脆弱性(漏洞扫描 / 渗透测试)、查管理漏洞,输出《威胁清单》《脆弱性报告》 |
|
风险分析与评价 |
按 “风险值 = 资产价值 × 脆弱性 × 威胁可能性” 分级(高 / 中 / 低 / 可接受),分析经济 / 运营 / 合规 / 声誉影响,输出《风险分析报告》《风险等级清单》 |
|
处置建议制定 |
高风险(立即修复 / 部署防护)、中风险(限期优化)、低风险(接受 / 转移),提技术 + 管理措施,输出《处置方案》《整改时间表》 |
|
专项评估(按需) |
数据安全(全生命周期风险)、供应链安全(第三方风险)、云安全(云平台风险),输出对应专项报告 |
|
报告交付 |
整合成果出《评估总报告》,解读并协助制定整改计划 |
服务证书
服务流程
| 需求分析与方案制定 |  |
资产识别与价值评估 | |
风险分析与评价 | |
处置与报告编制 | |
持续监控与复评 |
如何获取帮助?
请联系我们!
联系我们
浙江区域联系方式:0571-87759285
上海区域联系方式:13116762668
安徽区域联系方式:13958125460
广西区域联系方式:15678890066
北京区域联系方式:18601383688
其他区域联系方式:15158109776
总部地址:浙江杭州滨江区长河路590号东忠科技园4幢2楼
关注公众号
