• 安全評估及滲透測試
    安全評估及滲透測試
    安全服務
    安全評估及滲透測試
首頁 > 安全服務 > 安全評估及滲透測試...
市場需求

在信息系統上線階段,由于部分機構僅注重系統功能(néng)和性能(néng)測試,對(duì)安全方面(miàn)沒(méi)有進(jìn)行安全評估測試,導緻信息系統帶著(zhe)安全風險上線部署運行,給後(hòu)期運維和機構業務開(kāi)展帶來風險。因此,目前國(guó)内重要行業、重要企業和機構的信息系統上線時(shí),有關監管機構以及企業内的IT部門,都(dōu)要求進(jìn)行上線前的安全評估,通過(guò)後(hòu)才能(néng)部署運行。

在信息系統運行階段,各類機構中也存在著(zhe)大量信息系統及其賴以運行的基礎網絡、處理的數據和信息,由于其可能(néng)存在的技術漏洞和脆弱性,以及信息安全管理中潛在的薄弱環節,從而導緻不同程度的信息安全風險。引起(qǐ)機構業務風險和聲譽的降低。因此,機構需要定期進(jìn)行信息安全風險評估,并及時(shí)開(kāi)展風險處置。

安全評估是信息系統安全的基礎性工作。它是傳統的風險理論和方法在信息系統中的運用,能(néng)夠科學(xué)地分析和理解信息與信息系統在保密性、完整性、可用性等方面(miàn)所面(miàn)臨的風險,并在風險的減少、轉移和規避等風險控制方法之間做出決策的過(guò)程。

安全評估將(jiāng)導出信息系統的安全需求。持續的安全評估工作成(chéng)爲檢查信息系統本身安全保密狀況的有力手段,并通過(guò)行政手段對(duì)信息系統産生積極影響,促進(jìn)企業加強信息安全建設。

參考标準

《信息安全技術 信息安全風險評估方法》

  GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》

評估内容
  • 分析準備階段
    确定項目評估範圍,調研客戶管理制度、主要業務系統和業務系統功能(néng)、網絡結構與網絡環境。
  • 現狀評估階段
    通過(guò)信息系統資産識别,調研已有安全措施,确立組織的安全策略等活動,對(duì)信息系統進(jìn)行詳細的全面(miàn)摸底,并完成(chéng)信息資産列表和資産價值賦值。
  • 威脅評估
    從物理、網絡、主機、數據、應用五個層面(miàn)分析信息資産可能(néng)面(miàn)臨的威脅及手段,評估威脅産生的範圍和影響力,并進(jìn)行賦值分析和列表。
  • 脆弱性評估
    面(miàn)向(xiàng)信息資産,采用諸如安全訪談與檢查、系統漏洞掃描、WEB漏洞掃描、系統安全配置參數核查等多種(zhǒng)脆弱性發(fā)現技術,充分發(fā)現信息系統的技術弱點、行爲弱點和管理弱點,并進(jìn)行專家解讀和賦值,形成(chéng)信息資産脆弱性清單和脆弱性賦值。
  • 風險分析階段
    通過(guò)量化信息資産價值、脆弱性和威脅,采用标準風險度量計算方法計算風險,并根據風險量化值分級排序,獲得信息系統風險等級清單,進(jìn)行信息安全風險象限分析。
  • 風險處置階段
    在充分認知和度量信息系統風險的基礎上,結合經(jīng)驗分析,形成(chéng)權威的安全評估報告,并對(duì)信息系統的風險處置給出專家意見。

交付産物

《信息系統資産賦值表》《信息資産威脅列表》《信息資産脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風險評估報告》《信息安全風險處置計劃》

适用群體
  • 新建信息系統上線時(shí),需了解安全狀态是否符合預期;

  • 需要第三方評估報告證明自身安全建設有效性;

  • 需要對(duì)信息系統安全水平進(jìn)行專家診斷,識别梳理信息資産、了解安全現狀和風險、與主流通用标準、先進(jìn)安全技術是否具有差距性、獲得安全風險規避措施建議。

客戶收益
  • 信息系統安全防護獲得專家級診斷,充分認知信息安全現狀
  • 全面(miàn)梳理和摸底信息資産,得到詳細信息資産列表、重要程度評價和賦值
  • 掌握信息安全面(miàn)臨威脅、存在的脆弱性和風險
  • 獲得信息安全風險處置建議
  • 獲得權威第三方公平、公證的信息系統安全評估報告
×
隐私條款
×

此處放标題

内容暫無















免費咨詢熱線:400-880-5062
電話:86-21-51905999
傳真:86-21-51905959
郵編:201203
地址:上海市浦東新區張江高科技園區郭守敬路498号20号樓
我同意