@scream
2年前 提问
1个回答

风险评估与合规性检测服务主要包括哪几个环节

Andrew
2年前

风险评估与合规性检测服务主要包括以下几个环节:

  1. 信息资产的识别和赋值:确定企事业单位信息资产的范围,对信息资产进行识别、分组和分类,并根据其安全特性(机密性、完整性和可用性)进行赋值,建立信息资产列表。

  2. 威胁评估:对企事业单位的资产引起不期望事件而造成损害的潜在可能性进行分析。包括潜在威胁分析、威胁审计和日志分析,得到对企事业单位信息系统的安全威胁综合分析报告。

  3. 弱点评估:通过技术检测、实验和审计等方式寻找企事业单位的信息资产中可能存在的弱点,并对弱点的严重性进行估值。包括技术性弱点检测、网络架构和业务流程分析、策略与安全控制审计,得到对组织信息系统的安全弱点综合分析报告。

  4. 现有安全措施评估:对企事业单位目前已经采取的用于控制风险的技术和管理手段效果的评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价,得到对组织信息系统的现有安全措施综合分析报告。

  5. 综合风险分析与合规性检测:依据前面的评估结果和国际、国内标准及工程经验建立的风险评估模型,对企事业单位信息系统的风险与合规性情况进行评价和评级,得到对企事业单位信息系统的安全风险综合评估报告、信息安全现状报告和合规性分析报告。风险评估与合规性检测将风险评估方法论细化为资产调查、工具评估、人工评估、网络架构评估、应用评估、管理评估、合规性分析7个服务模块。