风险评估介绍

·《网络安全法》规定

《网络安全法》于2017年6月1日正式生效,其中第十七条和二十九条规定国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

· 什么是风险评估

风险评估是指从风险管理角度,依据国家有关信息安全技术标准和准则,运用科学的方法和手段,对信息系统及处理、传输和存储信息的保密性、完整性及可用性等安全属性进行全面科学地分析;对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价;对安全事件一旦发生可能造成的危害程度进行评估,并提出有针对性地抵御威胁的防护对策和整改措施。

· 专业的风险评估建议

风险评估是风险管理工作的基础,为组织提供更全面,更有效的风险信息。

讯天科技建议:根据评估出的安全隐患,加强安全管理,采取宣传教育、行政、技术及监督等措施和手段,推动各阶层员工做好每项安全工作,使企业每位员工都能真正重视安全工作。必要时可以通过专业的第三方安全评测机构对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度,让风险评估为网络安全保驾护航,降低或避免风险发生的可能性。

风险评估流程

前期沟通
前期准备工作
评估实施阶段
汇总分析及报告编制

风险评估内容

管理
  • 安全管理机构
  • 安全管理制度
  • 安全建设制度
  • 安全运维制度
  • 人员安全管理
  • 管理安全
设备及软件安全
  • 操作系统安全
  • 数据库
  • 网络及安全设备
  • 中间件
网络
  • 网络安全
物理环境安全
  • 物理安全
业务及应用安全
  • web安全
  • 客户端安全
  • 业务逻辑安全
  • 接口安全
  • 应用系统安全

风险评估方法

访谈

通过与各相关部门人员进行交谈,主要管理访谈。

检查

对信息系统各平台的安全配置情况进行人工审计。 查阅文件及记录和实地观察基础设施及物理环境的现状。

测试

技术性测试及验证:通过对信息系统进行针对性的技术性测试和验证,以收集测评证据。 漏洞扫描:通过在网络环境中的不同节点中部署漏洞扫描工具,对信息系统进行全面的脆弱性扫描和测试。