安全評估服務(wù)——安全評估目標(biāo)

語音在項(xiàng)目評估階段，為了充分了解企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的當(dāng)前安全狀況（安全隱患），因此需要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全狀況分析。經(jīng)我系安全小組和該企業(yè)信息中心的雙方確認(rèn)，對如下被選定的項(xiàng)目進(jìn)行評估?！?管理制度的評估· 物理安全的評估· 計(jì)算機(jī)系統(tǒng)安全評估· 網(wǎng)絡(luò)與通信安全的評估· 日志與統(tǒng)計(jì)安全的評估· 安全保障措施的評估· 總體評估

安全評估服務(wù)的評估對象及服務(wù)內(nèi)容

評估對象：

通過對當(dāng)前用戶云上運(yùn)行的信息系統(tǒng)進(jìn)行資產(chǎn)識別、威脅識別與分析以及脆弱性識別與分析，從云基礎(chǔ)設(shè)施、云上安全設(shè)施、云上數(shù)據(jù)、監(jiān)控審計(jì)措施、應(yīng)用等方面的進(jìn)行整體安全性評估。

服務(wù)內(nèi)容：

安全評估的主要對象分為以下幾個層次，各部分相對獨(dú)立，而又相互關(guān)聯(lián)相互作用著，通過對每一層次各方面詳細(xì)深入的分析、評估，才能提供一個完整的結(jié)果，對整體的信息系統(tǒng)體系進(jìn)行說明。

安全評估服務(wù)介紹

風(fēng)險(xiǎn)評估服務(wù)：依據(jù) GB/T20984 風(fēng)險(xiǎn)評估規(guī)范，對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有安全措施進(jìn)行綜合風(fēng)險(xiǎn)識別與分析，幫助客戶掌控系統(tǒng)安全風(fēng)險(xiǎn)現(xiàn)狀，并提供安全解決方案和建議。

漏洞檢測服務(wù)：供相應(yīng)的安全整改建議。滲透測試服務(wù)：依據(jù)各行業(yè)滲透測試實(shí)踐，通過工具輔助，主要以人工測試的方式，對客戶授權(quán)下的應(yīng)用系統(tǒng)。

安全評估服務(wù) - 流程介紹

準(zhǔn)備階段：

1、確定評估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評估組織架構(gòu)：責(zé)任人及編制信息安全評估方案及計(jì)劃。

3、項(xiàng)目啟動會議：講解方案計(jì)劃明晰責(zé)任及流程，輸出會議紀(jì)要。

輸出成果：《安全風(fēng)險(xiǎn)評估評估組織》、《保密協(xié)議書》、《信息安全風(fēng)險(xiǎn)評估方案與計(jì)劃》、《安全風(fēng)險(xiǎn)評估工作啟動會議紀(jì)要》等

資產(chǎn)識別：

1、資產(chǎn)收集：業(yè)務(wù)應(yīng)用、文檔和數(shù)據(jù)（網(wǎng)絡(luò)拓?fù)?、資產(chǎn)臺賬、相關(guān)文檔及數(shù)據(jù)）、軟硬件資產(chǎn)、物理環(huán)境（機(jī)房）、組織管理（規(guī)章制度）；

2、區(qū)分資產(chǎn)重要性：結(jié)合業(yè)務(wù)情況及實(shí)際依賴程度區(qū)分重要資產(chǎn)與非重要資產(chǎn)；

3、重要資產(chǎn)估值與確認(rèn)。

輸出成果：《資產(chǎn)識別表》、《重要資產(chǎn)估值表》等。

脆弱性威脅評估：

1、脆弱性評估：1）技術(shù)性弱點(diǎn)、2）操作性弱點(diǎn)、3）管理性弱點(diǎn)；

2、威脅評估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》、《潛伏威脅評估表》。

防護(hù)能力評估：

通過訪談途徑識別現(xiàn)有的安全措施并評估其效力。重點(diǎn)分析場景：

1、漏洞利用防護(hù)；

2、身份認(rèn)證；

3、監(jiān)控審計(jì)；

4、應(yīng)急備份；

5、其他。

輸出成果：《防護(hù)能力評估表》。

風(fēng)險(xiǎn)分析：

1、風(fēng)險(xiǎn)分析方法；

2、風(fēng)險(xiǎn)等級劃分；

3、不可接受風(fēng)險(xiǎn)劃分；

4、風(fēng)險(xiǎn)統(tǒng)計(jì)。

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》。

風(fēng)險(xiǎn)處置：

針對不可接受風(fēng)險(xiǎn)提出相應(yīng)的整改方案及計(jì)劃完成時間。

輸出成果：《安全風(fēng)險(xiǎn)評估報(bào)告》、《安全風(fēng)險(xiǎn)評估工作總結(jié)會議紀(jì)要》。