安全服務
安全評估及滲透測試
市場需求
在信息系統上線階段,由于部分機構僅注重系統功能和(hé)性能測試,對安全方面沒有進行安全評估測試,導緻信息系統帶着安全風險上線部署運行,給後期運維和(hé)機構業務開展帶來風險。因此,目前國內(nèi)重要行業、重要企業和(hé)機構的(de)信息系統上線時,有關監管機構以及企業內(nèi)的(de)IT部門,都要求進行上線前的(de)安全評估,通過後才能部署運行。
在信息系統運行階段,各類機構中也存在着大量信息系統及其賴以運行的(de)基礎網絡、處理(lǐ)的(de)數據和(hé)信息,由于其可(kě)能存在的(de)技術漏洞和(hé)脆弱性,以及信息安全管理(lǐ)中潛在的(de)薄弱環節,從而導緻不同程度的(de)信息安全風險。引起機構業務風險和(hé)聲譽的(de)降低(dī)。因此,機構需要定期進行信息安全風險評估,并及時開展風險處置。
安全評估是信息系統安全的(de)基礎性工作。它是傳統的(de)風險理(lǐ)論和(hé)方法在信息系統中的(de)運用,能夠科學(xué)地(dì)分析和(hé)理(lǐ)解信息與信息系統在保密性、完整性、可(kě)用性等方面所面臨的(de)風險,并在風險的(de)減少、轉移和(hé)規避等風險控制方法之間做(zuò)出決策的(de)過程。
安全評估将導出信息系統的(de)安全需求。持續的(de)安全評估工作成為(wèi)檢查信息系統本身安全保密狀況的(de)有力手段,并通過行政手段對信息系統産生積極影響,促進企業加強信息安全建設。
參考标準
《信息安全技術 信息安全風險評估方法》
GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》
評估內(nèi)容
分析準備階段确定項目評估範圍,調研客戶管理(lǐ)制度、主要業務系統和(hé)業務系統功能、網絡結構與網絡環境。
現狀評估階段通過信息系統資産識别,調研已有安全措施,确立組織的(de)安全策略等活動,對信息系統進行詳細的(de)全面摸底,并完成信息資産列表和(hé)資産價值賦值。
威脅評估從物理(lǐ)、網絡、主機、數據、應用五個層面分析信息資産可(kě)能面臨的(de)威脅及手段,評估威脅産生的(de)範圍和(hé)影響力,并進行賦值分析和(hé)列表。- 脆弱性評估面向信息資産,采用諸如(rú)安全訪談與檢查、系統漏洞掃描、WEB漏洞掃描、系統安全配置參數核查等多種脆弱性發現技術,充分發現信息系統的(de)技術弱點、行為(wèi)弱點和(hé)管理(lǐ)弱點,并進行專家解讀和(hé)賦值,形成信息資産脆弱性清單和(hé)脆弱性賦值。
- 風險分析階段通過量化信息資産價值、脆弱性和(hé)威脅,采用标準風險度量計算方法計算風險,并根據風險量化值分級排序,獲得信息系統風險等級清單,進行信息安全風險象限分析。
- 風險處置階段在充分認知和(hé)度量信息系統風險的(de)基礎上,結合經驗分析,形成權威的(de)安全評估報告,并對信息系統的(de)風險處置給出專家意見。
交付産物
《信息系統資産賦值表》《信息資産威脅列表》《信息資産脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風險評估報告》《信息安全風險處置計劃》
适用群體
新建信息系統上線時,需了解安全狀态是否符合預期;
需要第三方評估報告證明自(zì)身安全建設有效性;
需要對信息系統安全水平進行專家診斷,識别梳理(lǐ)信息資産、了解安全現狀和(hé)風險、與主流通用标準、先進安全技術是否具有差距性、獲得安全風險規避措施建議。
客戶收益
信息系統安全防護獲得專家級診斷,充分認知信息安全現狀
全面梳理(lǐ)和(hé)摸底信息資産,得到詳細信息資産列表、重要程度評價和(hé)賦值
掌握信息安全面臨威脅、存在的(de)脆弱性和(hé)風險- 獲得信息安全風險處置建議
- 獲得權威第三方公平、公證的(de)信息系統安全評估報告
×
隐私條款
×
此處放标題
內(nèi)容暫無
免費咨詢熱線:400-880-5062
電話:86-21-51905999
傳真:86-21-51905959
郵編:201203
地(dì)址:上海市浦東新區張江高(gāo)科技園區郭守敬路498号20号樓
電話:86-21-51905999
傳真:86-21-51905959
郵編:201203
地(dì)址:上海市浦東新區張江高(gāo)科技園區郭守敬路498号20号樓
我同意