廣電計量參照風險評估標準和管理規(guī)范��,針對系統(tǒng)的威脅性和脆弱性����,對信息系統(tǒng)及其處理、傳輸和存儲的數(shù)據(jù)信息的保密性���、完整性和可用性等安全屬性進行科學評估,為客戶識別當前信息系統(tǒng)�、業(yè)務(wù)邏輯層面的信息安全風險,并提供技術(shù)支持協(xié)助客戶進行有效的風險處置規(guī)劃建議�。
服務(wù)內(nèi)容
|
階段
|
服務(wù)內(nèi)容
|
服務(wù)介紹
|
|
準備階段
|
系統(tǒng)調(diào)研
|
對被評估系統(tǒng)的調(diào)查了解情況,涉及網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)情況��、業(yè)務(wù)應(yīng)用等內(nèi)容,生成《系統(tǒng)調(diào)研表》���。
|
|
制定風險評估方案
|
根據(jù)調(diào)研情況及評估目的,確定評估的目標���、范圍、對象����、工作計劃、主要技術(shù)路線���、應(yīng)急預(yù)案等���,生成《風險評估方案》。
|
|
識別階段
|
資產(chǎn)識別
|
資產(chǎn)調(diào)查情況,分析資產(chǎn)價值,以及重要資產(chǎn)說明��,生成《資產(chǎn)價值分析報告》����。
|
|
威脅識別
|
威脅調(diào)查情況,明確存在的威脅及其發(fā)生的可能性,以及嚴重威脅說明,生成《威脅分析報告》�。
|
|
脆弱性識別
|
從技術(shù)脆弱性、安全管理脆弱性方面識別脆弱性���,生成《脆弱性分析報告》����、《滲透測試報告》等。
|
|
已有安全措施分析
|
分析組織或信息系統(tǒng)已部署安全措施的有效性,包括技術(shù)和管理兩方面的安全管控說明����,生成《已有安全措施分析報告》。
|
|
風險分析階段
|
生成風險評估報告
|
對資產(chǎn)�、威脅、脆弱性等評估數(shù)據(jù)進行關(guān)聯(lián)計算���、分析評價等, 應(yīng)說明風險分析模型�����、分析計算方法����,生成《風險評估報告》�����。
|
|
風險處理階段
|
提出安全整改建議
|
對評估中發(fā)現(xiàn)的安全問題給予有針對性的風險處理建議�。
|
服務(wù)范圍
(1)適用于通信、電力����、能源、醫(yī)療���、交通運輸���、制造、教育等行業(yè)
(2)適用于所有信息化企業(yè)
相關(guān)資質(zhì)
獲得中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(CCRC)頒發(fā)的信息安全服務(wù)資質(zhì)認證證書
服務(wù)標準
(1) GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范
(2) GB/T 31509-2015 信息安全技術(shù) 信息安全風險評估實施指南
(3) GB/T 18336-2001 信息安全技術(shù) 信息技術(shù)安全性評估準則
(4) GB/T 31722-2015 信息技術(shù) 安全技術(shù) 信息安全風險管理
(5) GB/T 33132-2016 信息安全技術(shù) 信息安全風險處理實施指南
(6) GB/T 22080-2016 信息技術(shù) 安全技術(shù) 信息安全管理體系要求
(7) GBT/ 27921-2011 風險管理 風險評估技術(shù)
服務(wù)背景
在這個互聯(lián)網(wǎng)時代���,信息安全是每一家企業(yè)都應(yīng)該重視的事情�����。要知道信息一旦被黑客攻下���,那么帶來的損失是無法衡量的。因此日常做好信息安全風險評估的工作是非常有必要的�����,但并不是每個企業(yè)都設(shè)有專門的崗位來進行風險評估��,因此我們提供咨詢服務(wù)來協(xié)助客戶完成風險評估。
服務(wù)流程
我們的優(yōu)勢
(1)廣電計量獲得中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(CCRC)頒發(fā)的信息安全服務(wù)資質(zhì)認證證書�;
(2)廣電計量擁有專業(yè)的信息安全管理服務(wù)團隊,團隊成員擁有豐富的風險評估咨詢服務(wù)經(jīng)驗�。
(3)廣電計量在全國共有六十余個分子公司,秉持科學����、公正、準確��、快捷����、周到的服務(wù)理念,助力各類型企業(yè)開展信息安全風險評估��,提升信息安全風險管理水平���。
