风险评估与规划

Microsoft把有效的安全措施整合为标准，但是高超的应对手法层出不穷。安全系统存在一个适得其反的坏毛病，无疑会引发重大问题——Rick Maybury

信息系统存在的脆弱性是不可避免的，经过几十年的研究，大家发现这是由于人为的错误所造成的，对于现在我们所使用的一个庞大的、复杂的技术系统来说，恐怕在长时间内是不可避免的。因此，在现实环境中，人们总是要面临着各种各样的威胁，或者是信息安全风险是必然的。在这种情况下，通过适当的、足够的，有时候是综合的安全措施来控制风险，最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。

服务介绍：

信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。海峡信息遵照国家《信息安全风险评估规范》（GB/T 20984-2007）及等级保护系列规范，遵循ISO27001以及相关行业规范，从安全技术和安全管理两个层面入手，全面深入分析信息系统存在的脆弱性、威胁和风险，输出风险评估报告和风险处置建议。并进一步协助用户完成安全规划，有步骤有计划的提升用户的信息安全保障水平。海峡信息风险评估服务根据服务内容不同，可以分解为网络安全评估、网站安全评估、应用系统安全评估等多种类型。

客户价值：

（1）认识风险及其对目标的潜在影响；

（2）为决策者提供信息；

（3）有助于认识风险，以便帮助选择应对策略；

（4）识别那些造成风险的主要因素，揭示系统和组织的薄弱环节；

（5）有助于明确需要优先处理的风险事件；

（6）有助于通过事后调查来进行事故预防；

（7）有助于风险应对策略的选择；

（8）满足监管要求。