背景故事
王工在一家大型物流公司工作,最近被领导提拔为IT经理,本来应该是一个盛世。然而,最近公司遭受了大范围的网络攻击,其内网几乎全部被攻陷,大量机密文件被泄露,给公司造成了重大损失。
事后通过调查发现,公司制度存在很多漏洞,公司已经很多年没有做信息安全风险评估了。这起信息安全事件也让公司高层注意到,原本被认为“坚不可摧”的信息系统早已“千疮百孔”!
01 什么是信息安全全风险评估?
信息安全风险评估是指分析信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施,判断安全事件和可能损失的概率,并提出风险管理措施的过程。风险评估应用于IT领域,就是信息安全的风险评估。
02 为什么企业需要做信息安全风险品评估?
1让企业充分了解自身信息系统的安全状态
所谓,没有绝对安全的系统。哪里有信息系统,哪里就有风险。常规业务。
业的信息系统进行安全评估,有利于企业发现系统内部的安全隐患与不足之处,同时也可通过安全整改提升系统的安全防护能力,降低被攻击的风险。2 合规性要求
《中华人民共和国网络安全法》和《网络安全等级保护条例》明确规定企业信息系统运营应当按照网络安全等级保护制度要求,履行安全保护业务,如果据不履行,将会受到相应的处罚。
3 满足客户需求
部分企业做安全评估是为系统的交付,客户需要安全评估报告证明系统的安全性,此时系统开发商会按照客户需求进行安全评估工作。
03 怎么做信息安全风险评估?一般找谁来做?
可以找具备信息安全风险评估资质的第三方机构或者网络安全服务商进行评估,然后出具相关风险评估报告。
昆仑联通信息安全风险评估是对信息资产面临的威胁、存在的弱点、造成的影响以及三者综合作用而带来风险的可能性进行评估。风险评估的主要任务包括:识别组织面临的各种风险、评估风险等级和风险可能带来的负面影响、确定组织承受风险的能力、确定风险处理和控制的优先等级、推荐风险处理对策。
(1)风险评估的主要服务内容
资产评估
对资产进行相对估价,主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了资产的重要程度。
威胁评估
对资产所受威胁发生可能性的评估,主要从威胁源的动机和能力两方面分析。
脆弱评估
对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被利用成功后的严重性两方面安全属性进行分析。
现有控制措施评估
对保障措施的有效性进行的评估活动,主要考虑安全措施在防范威胁,减少脆弱性方面的有效状况的安全属性进行分析。
综合风险评估
通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成综合风险评估。
风险控制规划
根据国家信息安全相关政策和要求,参考等级保护标准,分析存在的差距,总结出主要的安全需求,并根据需求的轻重缓急,制定出风险控制规划方案,为后续的安全整改提供参考。
(2)风险评估的实施流程
阶段一:准备阶段
1. 确定双方项目组织结构、人员分工和项目沟通方式;
2.制定《风险评估实施方案》,就项目目标、范围、项目交付成果等内容达成一致。
阶段二:识别阶段
1.对被评估信息系统的关键资产进行识别,并合理分类;
2.识别被评估信息系统的关键资产所面临的威胁源;
3.从技术、管理两方面对被评估信息系统的脆弱性进行识别,并合理分类;安全措施识别。
阶段三:分析阶段
2.对识别出来的信息系统的威胁进行分类、分析,编写《威胁评估报告》;
3.从技术、管理两方面对被评估信息系统的脆弱性进行分类分析,编写《脆弱性评估报告》;
4.从资产、脆弱性、威胁三方面对信息系统进行综合分析,编写《风险评估综合报告》。
阶段四:规划阶段
1.对综合风险进行梳理分析,制定风险控制规划;
2.完成项目交付文档,提交客户讨论汇报;
3.取得客户对项目认可,完成项目验收。
04 为什么选择昆仑联通进行合作?
01 专业化项目管理
严格按照项目管理标准,制订严谨的项目实施计划,项目经理全程把控项目进度。
02 资深评估专家
安全行业资深领域专家,行业顾问专门负责资产评估和管理评估工作,保证评估结果的可靠性。
03 信息安全风险评估服务资质
