概述定义

风险评估是指通过对信息系统进行资产识别、威胁识别与分析以及脆弱性识别与分析,从物理脆弱性、网络脆弱性、管理脆弱性和应用脆弱性(包括服务器、数 据库、应用软件和终端)四个方面进行科学赋值,并对信息系统的资产进行风险统计和计算,综合分析存在的风险和已采取的安全措施,给出风险控制建议。

评估范围

风险评估涉及信息系统的软硬件资源,包括服务器,网络设备,安全设备,业务应用系统,以及安全策略和管理制度等。通过收集、分析使用单位所提交资料进 行多次调研、分析使用单位信息系统基础架构和应用,然后对上述过程收集的数据、资料和现场核查分析。

参考依据

在整个风险评估分析过程中,遵循和参照以下信息安全标准、规范,作为评估实施的基本原则:
  • GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
  • GB18336(ISO15408):《信息安全技术 信息技术安全评估准则》
  • ISO27001:信息安全管理体系指南
  • CVE:通用脆弱性标准
  • OCTAVE:可操作的关键威胁、资产和脆弱性评价
  • 在风险评估项目中,重点参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》来开展相应的分析工作

评估流程

风险评估服务流程如下图所示:
评估流程
服务优势
亚太免备案CDN具有专业的风险评估服务团队,资深的安全服务人员,经验丰富的渗透测试工程师,从系统安全、应用安全和数据安全等多个维度发现信息系统存在安全风 险,帮助客户更好的发现和应对风险,及时采取有效措施规避风险,降低客户的经济损失。