第三:信息安全风险评估
1、什么是风险评估
• 依据国际或国家标准中明确的风险计算模型,来对所评估对象目前所存在的信息安全风险进行分析的服务过程;
• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段;
• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法;
• 服务过程往往需要依靠专业检测工具来辅助;
2、哪些企业适合申请风险评估
• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织;
• 希望作为中立的第三方,向需求方提供服务的组织;
3、风险评估工具
基于技术的工具:
扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
入侵检测系统(IDS):用于收集与统计威胁数据;
渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;
主机安全性审计工具:用于分析主机系统配置的安全性;
信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标;
领取专属 10元无门槛券
私享最新 技术干货