风险评估

概述

从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。

实施驱动力

随着网络技术的迅速发展,其应用越来越广泛,在网络的应用过程中,网络欺骗、恶意传播及攻击等问题也伴随而生,在这种情形下,信息的安全性越来越被人们所重视,风险评估成为发现信息安全的基本方法。

实施目标
  • 识别与控制组织中现存的安全风险、管理漏洞与安全隐患;
  • 减少组织安全事件发生的可能性;
  • 降低风险发生后造成的影响和损失;
实施过程

风险评估的实施流程包括:

    风险评估前准备

  • 确定风险评估的目标
  • 确定风险评估的范围
  • 组建适当的评估管理与实施团队
  • 进行系统调研,采取问卷调查、现场询问等方式
  • 制定方案,为之后的风评实施提供一个总体计划
  • 获得最高管理者对风险评估工作的支持
  • 资产识别

  • 资产分类(根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类)
  • 资产的赋值(五个等级:可忽略、低、中等、高、极高)
  • 资产重要性等级(五个等级:很低、低、中、高、很高)
  • 威胁识别

  • 威胁的分类
  • 威胁的赋值(五个等级:很低、低、中、高、很高)
  • 脆弱性识别

  • 脆弱性识别
  • 脆弱性赋值(五个等级:很低、低、中、高、很高)
  • 对已采取安全措施的确认

    风险分析

  • 风险计算方法
  • 风险结果判定(风险等级划分)
  • 编写风险评估报告
  • 风险评估文件记录

  • 风险评估文件记录的要求
  • 风险评估文件

风险评估流程如下图所示:

 

实施收益
  • 减少和降低企业存在的安全风险点;
  • 使得企业安全风险可控,提高给予客户的信心;
  • 减少组织无形资产的损失,提高组织安全性;
  • 有效降低风险发生后造成的影响和损失;
速邦优势

速邦咨询客户覆盖多种行业,具备良好的商业信誉,咨询师业务经验丰富,同时具备诸多国际上最为认可的高级资质,包括CISSP、ISO27000主任审核员、CISA、CISM、ITIL证书等,客户案例众多。通过咨询、培训等方式,帮助企业建立持续改进计划及行动方案,加强软件开发能力,帮助其参与国际市场的竞争。

在具体实施过程中,速邦咨询本着以客户为中心的原则,为客户提供高水平、高质量的专业服务:

—速邦咨询与认证机构的紧密沟通,与BSI、DNV、BV、中国信息安全认证中心等国内外著名的认证机构建立了战略合作关系

-针对不同的项目,成立专门的项目组,为客户提供高效、快速的服务;

-充分详实的现状调查,确保根据实际状况为客户量身定制课程;

-根据项目实施需要,为客户定期举办公开课培训;

-为客户提供行业政策及动态;

-定期进行服务满意度调查及服务回访。