风险评估

什么是信息安全风险评估？

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

简单来说就是在信息系统在接入互联网之前进行信息安全风险评估，提前确定系统的网络安全漏洞情况，是否符合系统入网安全评估的测评标准以及网络安全等级保护测评的标准。

不做风险评估的后果！

如果应用系统未经上线前检测直接上线，在上线后由于存在类似SQL注入、跨站脚本、木马文件上传等漏洞而遭受攻击，可能直接影响系统正常业务运行，甚至造成经济和名誉的损失，再加上有些漏洞涉及代码改写，考虑到业务连续性的要求，上线后再进行代码整改修复漏洞，成本更为巨大。因系统漏洞造成网络安全事故，违背网络安全法，直接责任人，主管责任人将会按照网络安全法依法处罚。

什么场景需要进行风险评估？

1、内部信息系统自测评需要

一般一些大型的信息系统，在接入网络之前，都需要第三方提供入网安全测评报告，这样可以作为信息系统正式上线前的测评，为系统是否可以正式开始进行运作提供参考依据。另外，当大型系统进行了功能升级或者系统变更时，也需要出具入网安全评估报告。一般来说，医院业务系统、电力系统、金融系统、行政系统等等大型信息系统，会通过公开招标的方式来寻找合适的入网安评服务商。

2、第三方开发的信息系统验收时

客户要求在验收时出具入网安全评估报告时，进行入网安全测评后客户才可以更放心的使用您为他开发的信息系统，特别是一些涉及公司或单位的敏感数据的系统，更是需要入网安全测评。否则，一旦出现安全事故，对业主交产生非常严重的影响。而对于技术提供商来说，如果没有开展入网安全评估，信息系统安全问题带来的问题，很难分清楚责任归属，而且很有可能会需要承担一定的赔偿责任。

3、信息系统或软件作为产品推广时

当公司开发了具体一定通用性的信息系统或者软件并规划为产品进行推广销售时，入网安全测评是非常重要的，入网安全测评报告是产品参数非常必要的一项。近几年国家公安部和网信办对信息化产品的安全规范越来越严格，产品具备入网安全测评报告不但能满足安全规范，同时也能大大提高客户的信任度和产品的竞争力，有利于产品的推广和销售。

做风险评估会给企业带来的好处！

1.更准确地认识风险

2.系统地评估资产各种风险事件发生的概率大小、概率分布，及发生后损失的严重程度，帮助区分主要风险和次要风险。

3.保证规划的合理和可行性

4.正确反映各风险对信息安全的不同影响，使规划的结果更合理可靠，使在此基础上制定的计划具有现实的可行性。

选择最佳风险对策组合

 风险对策会付出一定代价，需将不同风险对策的适用性与不同风险的后果结合考虑，使不同风险选择适宜的风险对策，形成最佳风险对策组合。

服务流程

STEP1 评估准备

1.项目成员人、工具包、访谈表单、流程

2.制定风险评估方案

3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。

STEP2 技术评估

1.漏扫评估：对主机、网络设备、数据库、中间件(账户安全、访问控制、网络安全等27项)；

2.应用评估：安全功能、日常维护(身份认证、访问权限控制、传输安全等12项)；

3.渗透测试：业务系统、APP程序、微信小程序(信息泄露、注入漏洞、逻辑漏洞等15项)。

STEP3 管理评估

1.技术管理评估：物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性。

2.组织管理评估：安全策略、组织安全、资产分类与控制、人员安全、符合性。

STEP4 评估报告

1.列出在风险评估工作中，发现的重要资产分布、脆弱性分布及综合威胁分布。

2.详细描述发现的安全风险现状及评估分析结果。

3.提出相关风险控制方案，为之后的加固整改提出合理化建议。 

服务优势

专业化项目管理

严格按照项目管理标准，制订严谨的项目实施计划，项目经理全程把控项目进度。

资深评估专家

安全行业资深领域专家，行业顾问专门负责资产评估和管理评估工作，保证评估结果的可靠性。

安全技术大牛

业内从业多年的白帽子技术专家专职负责技术评估，技术培训工作。保证技术可靠性。

针对性整改方案

全面分析评估结果报告，形成风险控制方案，安全管理制度，漏洞整改建议。全面提升资产安全性，降低安全风险。