信息安全风险评估

信息安全风险评估服务是国舜提供给客户的一项对复杂信息系统环境进行全面安全复查及评估的专业服务，评估团队由我公司的高级测评工程师和咨询顾问组成，采用专业的漏洞测试工具和成熟的工作模板，从风险管理角度，运用科学的方法和手段，系统的分析信息系统面临的威胁和脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全，将风险控制在可接受的水平，从而保障企业机构信息安全。

整个评估的过程可以分为以下几个阶段： ▶ 第一阶段确定评估范围阶段，调查并了解网络系统业务的流程和运行环境，确定评估范围的边界以及范围内的网络系统应用； ▶ 第二阶段是资产的识别和估价阶段，对评估范围内的资产进行识别，并调查资产破坏后可能造成的影响大小，根据影响的大小为资产进行相对赋值； ▶ 第三阶段是安全威胁评估阶段，首先通过问卷调查和IDS取样等方式识别出资产所面临的每种威胁，并评估它们发生的可能性； ▶ 第四阶段是脆弱性评估阶段，包括从技术和管理方面进行的脆弱度检查，特别是技术方面，以安全扫描、手动检查、渗透测试等众多技术手段进行评估； ▶ 第五阶段是风险的分析阶段，即通过分析上面所评估的数据，进行风险值计算、区分和确认高风险因素；总结整个风险评估过程，制定相关风险控制策略，建立风险评估报告，实施某些紧急风险控制措施（如安全修补和加固）。

国际标准： ▶ ISO15408 信息技术安全评估准则 ▶ ISO/IEC TR 13335信息和通信技术安全管理 ▶ ISO/IEC 27000 信息安全管理体系系列标准 ▶ ISO17799、ISO13335、ISO20000 ▶ ISSE-CMM 系统安全工程能力成熟度模型 ▶ AS/NZS 4360 风险管理 ▶ NIST SP 800-30 IT系统风险管理指南 国内标准： ▶ GB/Z 24364-2009 信息安全风险管理指南 ▶ GB/T 20984-2007 信息安全技术 信息安全风险评估规范 ▶ GB/T 31509-2015信息安全技术 信息安全风险评估实施指南 ▶ GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则 ▶ GB/T 19716-2005 信息技术 信息安全管理实用规则 ▶ GB/T 31509-2015信息安全技术 信息安全风险评估实施指南 ▶ GB/Z 20985信息技术 安全技术 信息安全事件管理指南 ▶ GB/Z 20986信息安全技术信息安全事件分类分级指南 ▶ 国家网络安全等级保护管理办法及相关标准 行业及监管要求 ▶ 商业银行信息科技风险管理指引（银监发〔2009〕19号） ▶ 中央企业全面风险管理指引（国资发改革〔2006〕108号） ▶ 企业内部控制基本规范（财会〔2008〕7号） ▶ 电子银行安全评估指引（银监发〔2006〕9号）