信息安全風險評估

信息安全風險評估服務是國舜提供給客戶的一項對復雜信息系統環境進行全面安全復查及評估的專業服務，評估團隊由我公司的高級測評工程師和咨詢顧問組成，采用專業的漏洞測試工具和成熟的工作模板，從風險管理角度，運用科學的方法和手段，系統的分析信息系統面臨的威脅和脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全，將風險控制在可接受的水平，從而保障企業機構信息安全。

整個評估的過程可以分為以下幾個階段： ? 第一階段確定評估范圍階段，調查并了解網絡系統業務的流程和運行環境，確定評估范圍的邊界以及范圍內的網絡系統應用； ? 第二階段是資產的識別和估價階段，對評估范圍內的資產進行識別，并調查資產破壞后可能造成的影響大小，根據影響的大小為資產進行相對賦值； ? 第三階段是安全威脅評估階段，首先通過問卷調查和IDS取樣等方式識別出資產所面臨的每種威脅，并評估它們發生的可能性； ? 第四階段是脆弱性評估階段，包括從技術和管理方面進行的脆弱度檢查，特別是技術方面，以安全掃描、手動檢查、滲透測試等眾多技術手段進行評估； ? 第五階段是風險的分析階段，即通過分析上面所評估的數據，進行風險值計算、區分和確認高風險因素；總結整個風險評估過程，制定相關風險控制策略，建立風險評估報告，實施某些緊急風險控制措施（如安全修補和加固）。

國際標準： ? ISO15408 信息技術安全評估準則 ? ISO/IEC TR 13335信息和通信技術安全管理 ? ISO/IEC 27000 信息安全管理體系系列標準 ? ISO17799、ISO13335、ISO20000 ? ISSE-CMM 系統安全工程能力成熟度模型 ? AS/NZS 4360 風險管理 ? NIST SP 800-30 IT系統風險管理指南 國內標準： ? GB/Z 24364-2009 信息安全風險管理指南 ? GB/T 20984-2007 信息安全技術 信息安全風險評估規范 ? GB/T 31509-2015信息安全技術 信息安全風險評估實施指南 ? GB/T 18336-2001 信息技術 安全技術 信息技術安全性評估準則 ? GB/T 19716-2005 信息技術 信息安全管理實用規則 ? GB/T 31509-2015信息安全技術 信息安全風險評估實施指南 ? GB/Z 20985信息技術 安全技術 信息安全事件管理指南 ? GB/Z 20986信息安全技術信息安全事件分類分級指南 ? 國家網絡安全等級保護管理辦法及相關標準 行業及監管要求 ? 商業銀行信息科技風險管理指引（銀監發〔2009〕19號） ? 中央企業全面風險管理指引（國資發改革〔2006〕108號） ? 企業內部控制基本規范（財會〔2008〕7號） ? 電子銀行安全評估指引（銀監發〔2006〕9號）