信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。
服务流程:
一、信息收集:
1、收集整理资产信息表,调研安全评估需求;
二、方案编制:
1、确定测试人员;
2、确定检查方式;
3、制定风险应对计划;
4、确定评估时间;
5、确定接入点的位置与方式;
6、制定评估计划;
三、实施评估:
1、资产识别;
2、风险识别;
3、脆弱性识别;
4、风险计算并输出风险结果;
5、安全措施方案建议;
6、协助客户完成风险管理;
四、报告和总结:
1、编写综合分析报告;
2、服务总结和验收。