1)服务概述
遵循国家及行业风评标准,全方位评估网络及信息系统可能面临的安全威胁和隐患,进行风险计算和评价,提出专业风险处置方案,进行二次复评,提升网络及信息系统安全防护能力同时,满足网络安全法、关键信息基础设施保护条例、等保2.0等法律法规及标准对信息系统定期风评要求。
2)服务内容
资产识别
依托自动化资产识别工具,全方位识别评估对象各类型(硬件、软件、数据、人员等)资产,进行机密性、完整性、可用性赋值,确定资产等级和价值。
威胁识别
根据以往安全事件、工具检测及日志分析结果、近年来国内外权威机构发布威胁,识别安全威胁,确定威胁发生频率,包括人为威胁、自然威胁等。
脆弱性识别
依托专业评估工具,通过人工和工具结合方式,发现资产安全弱点,进行脆弱性赋值,确定脆弱性等级。
安全措施有效性分析
调研评估对象已有安全措施现状,进行措施有效性分析,包括管理措施、技术措施等。如:防火墙、入侵检测、态势感知等。
风险分析及评价
采取科学、合理的计算方法,计算风险可能性和损失,确定风险安全等级和影响,进行综合风险评价,形成风险清单和视图。
风险处置
确定不可接受风险,制定风险处置计划,提供技术指导,协助开展风险处置,进行处置后复评。