风险评估与规划
Microsoft把有效的安全措施整合为标准,但是高超的应对手法层出不穷。安全系统存在一个适得其反的坏毛病,无疑会引发重大问题——Rick Maybury
信息系统存在的脆弱性是不可避免的,经过几十年的研究,大家发现这是由于人为的错误所造成的,对于现在我们所使用的一个庞大的、复杂的技术系统来说,恐怕在长时间内是不可避免的。因此,在现实环境中,人们总是要面临着各种各样的威胁,或者是信息安全风险是必然的。在这种情况下,通过适当的、足够的,有时候是综合的安全措施来控制风险,最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。
服务介绍:
信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。海峡信息遵照国家《信息安全风险评估规范》(GB/T 20984-2007)及等级保护系列规范,遵循ISO27001以及相关行业规范,从安全技术和安全管理两个层面入手,全面深入分析信息系统存在的脆弱性、威胁和风险,输出风险评估报告和风险处置建议。并进一步协助用户完成安全规划,有步骤有计划的提升用户的信息安全保障水平。海峡信息风险评估服务根据服务内容不同,可以分解为网络安全评估、网站安全评估、应用系统安全评估等多种类型。
客户价值:
(1)认识风险及其对目标的潜在影响;
(2)为决策者提供信息;
(3)有助于认识风险,以便帮助选择应对策略;
(4)识别那些造成风险的主要因素,揭示系统和组织的薄弱环节;
(5)有助于明确需要优先处理的风险事件;
(6)有助于通过事后调查来进行事故预防;
(7)有助于风险应对策略的选择;
(8)满足监管要求。