?    服務(wù)介紹

 風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險管理措施的過程。

 風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的防護(hù)對策和整改措施，防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大限度地為保障信息安全提供科學(xué)依據(jù)。

 風(fēng)險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用ISO17799、GB/T 20984《信息安全技術(shù) 信息安全風(fēng)險評估方法》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型。

?    服務(wù)意義

      能夠及時發(fā)現(xiàn)信息安全工作中存在的主要問題和矛盾：日常檢查能及時發(fā)現(xiàn)潛在風(fēng)險，分析確定系統(tǒng)風(fēng)險大小后，采取適當(dāng)?shù)拇胧┤p少、轉(zhuǎn)移，有效避免風(fēng)險或?qū)L(fēng)險控制在可以容忍的范圍內(nèi)，提高數(shù)據(jù)的安全性。

      能夠加強(qiáng)信息安全保障體系建設(shè)和管理：信息安全建設(shè)離不開風(fēng)險評估，只有正確、全面、清晰地了解風(fēng)險后，才能在如何控制風(fēng)險這個問題上做出正確合理的判斷，從而加強(qiáng)信息安全保障體系的建設(shè)和管理。

?    服務(wù)步驟

      風(fēng)險辨識：對系統(tǒng)進(jìn)行評估之前，首先需要對于每一個業(yè)務(wù)中的單元、各種相關(guān)的活動、以及業(yè)務(wù)流程里面的重要環(huán)節(jié)都進(jìn)行反復(fù)的排查與辨識，在整體上對于系統(tǒng)存在的風(fēng)險情況進(jìn)行初步估計與判斷。

      風(fēng)險分析：對于有風(fēng)險辨識度的項目或是流程，需進(jìn)行仔細(xì)的分析，判斷其風(fēng)險特征，并使用明確的定義對其進(jìn)行描述，使其更加精準(zhǔn)，特別是對于明確風(fēng)險的發(fā)生條件及程度高低應(yīng)盡可能使用數(shù)字或是檔位來進(jìn)行定義，從而更直觀的認(rèn)知到這些風(fēng)險的發(fā)生可能性以及可能造成的后果。

      風(fēng)險評價：最后一步是進(jìn)行風(fēng)險的最終評價，也是進(jìn)行正式的風(fēng)險評估環(huán)節(jié)，對組織方案、運營目標(biāo)的最終影響程度、風(fēng)險的可能性與價格以及可能的后果都進(jìn)行明確的量化評估，從而使得客戶可以更為明確地了解到是否應(yīng)該繼續(xù)采用該方案，其自身是否足以承擔(dān)相關(guān)風(fēng)險。

?    服務(wù)流程