安全服务
安全评估及渗透测试
市场需求
在信息系统上线阶段,由于部分机构仅注重系统功能和性能测试,对安全方面没有进行安全评估测试,导致信息系统带着安全风险上线部署运行,给后期运维和机构业务开展带来风险。因此,目前国内重要行业、重要企业和机构的信息系统上线时,有关监管机构以及企业内的IT部门,都要求进行上线前的安全评估,通过后才能部署运行。
在信息系统运行阶段,各类机构中也存在着大量信息系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的技术漏洞和脆弱性,以及信息安全管理中潜在的薄弱环节,从而导致不同程度的信息安全风险。引起机构业务风险和声誉的降低。因此,机构需要定期进行信息安全风险评估,并及时开展风险处置。
安全评估是信息系统安全的基础性工作。它是传统的风险理论和方法在信息系统中的运用,能够科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。
安全评估将导出信息系统的安全需求。持续的安全评估工作成为检查信息系统本身安全保密状况的有力手段,并通过行政手段对信息系统产生积极影响,促进企业加强信息安全建设。
参考标准
《信息安全技术 信息安全风险评估方法》
GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》
评估内容
分析准备阶段确定项目评估范围,调研客户管理制度、主要业务系统和业务系统功能、网络结构与网络环境。
现状评估阶段通过信息系统资产识别,调研已有安全措施,确立组织的安全策略等活动,对信息系统进行详细的全面摸底,并完成信息资产列表和资产价值赋值。
威胁评估从物理、网络、主机、数据、应用五个层面分析信息资产可能面临的威胁及手段,评估威胁产生的范围和影响力,并进行赋值分析和列表。- 脆弱性评估面向信息资产,采用诸如安全访谈与检查、系统漏洞扫描、WEB漏洞扫描、系统安全配置参数核查等多种脆弱性发现技术,充分发现信息系统的技术弱点、行为弱点和管理弱点,并进行专家解读和赋值,形成信息资产脆弱性清单和脆弱性赋值。
- 风险分析阶段通过量化信息资产价值、脆弱性和威胁,采用标准风险度量计算方法计算风险,并根据风险量化值分级排序,获得信息系统风险等级清单,进行信息安全风险象限分析。
- 风险处置阶段在充分认知和度量信息系统风险的基础上,结合经验分析,形成权威的安全评估报告,并对信息系统的风险处置给出专家意见。
交付产物
《信息系统资产赋值表》《信息资产威胁列表》《信息资产脆弱性列表》《漏洞扫描分析报告》《渗透测试分析报告》《信息安全风险评估报告》《信息安全风险处置计划》
适用群体
新建信息系统上线时,需了解安全状态是否符合预期;
需要第三方评估报告证明自身安全建设有效性;
需要对信息系统安全水平进行专家诊断,识别梳理信息资产、了解安全现状和风险、与主流通用标准、先进安全技术是否具有差距性、获得安全风险规避措施建议。
客户收益
信息系统安全防护获得专家级诊断,充分认知信息安全现状
全面梳理和摸底信息资产,得到详细信息资产列表、重要程度评价和赋值
掌握信息安全面临威胁、存在的脆弱性和风险- 获得信息安全风险处置建议
- 获得权威第三方公平、公证的信息系统安全评估报告
×
隐私条款
×
此处放标题
内容暂无
免费咨询热线:400-880-5062
电话:86-21-51905999
传真:86-21-51905959
邮编:201203
地址:上海市浦东新区张江高科技园区郭守敬路498号20号楼
电话:86-21-51905999
传真:86-21-51905959
邮编:201203
地址:上海市浦东新区张江高科技园区郭守敬路498号20号楼
我同意