@深巷
3年前 提问
1个回答
做信息安全评估的目的是什么
帅末
3年前
通过资产发现、脆弱点扫描等技术手段,对现有应用系统、网络、主机及工作环境进行全面的扫描发现和统计现有资产信息(包括设备、流程、制度等),从资产管理角度发现僵尸设备,从系统安全性角度发现隐藏的安全漏洞,了解系统的脆弱性,根据资产发现的结果进行精准风险扫描,可针对特定漏洞实时进行全面排查,形成风险评估表,计算风险的严重性并加以改进和加固。经过上述一系列系统信息安全建设,能够在很大程度上提高信息系统的系统安全性和业务连续性。
通过安全评估和脆弱性分析,制定适合企业客观条件、实际业务的安全策略、制度和目标;通过安全风险评估,掌握信息系统的安全现状,提出安全解决建议;结合企业客观现状和业务需求,制定有针对性的安全策略和短期、长期可落地的信息安全目标;协助进行企业信息安全体系制度的建设与落地;提出有实际意义的信息安全体系建设方针;将安全评估的结果作为下一阶段工作的数据基础;完成安全加固工作;网络架构、主机安全、中间件及数据库安全、WEB安全和安全管理是安全评估的重点。
全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。
针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。
信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。