安全评估服务——服务场景

基础服务架构&方案评估：项目方案担心有安全设计缺陷，安全策略担心配置不合理，可申请安全评估服务，做一次多方位安全体验。

设备入网&第三方SDK评估：在第三方外采设备、系统计划部署IDC或产品嵌入了第三方SDK，可通过安全评估服务协助评估第三方SDK安全性。

智能硬件&AI私有化评估：重点关注主打百度品牌的相关智能硬件和AI私有化类项目，根据业务实际场景，提供整体安全解决方案。

重保服务：在重大活动、会议召开之前可针对应用系统提前进行一次“安全体检”，确保万无一失。

安全评估服务介绍

新上线安全测试：围绕应用系统的生命周期，在新应用系统投入运行前，从应用系统的应用、主机、运行逻辑、第三方组件以及合规性等方面，进行上线安全评估。根据评估的结果形成安全检测报告并提供解决方案，确保应用系统安全、平稳的运行。

安全体检：通过用户访谈和问卷调研识别客户的重要业务系统，进行脆弱性识别，针对已识别的脆弱性进行场景化风险分析并给出相应的场景解决方案。

网络安全风险评估的依据是什么

风险评估工作主要遵循以下评估依据，并作为评估工作实施的指导文件，部分评估内容将参考或借鉴指导文件内容。

1) 《中华人民共和国网络安全法》

2) 《国家网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》（国信办[2006]5 号）

3) 《信息安全技术 信息安全风险评估规范》 （GB/T 20984-2007）

4) 《信息安全技术 信息安全风险评估实施指南》 （GB/T 31509-2015）

5) 《信息安全技术 信息安全事件分类分级指南》 （GB/Z 20986-2007）

6) 《计算机场地通用规范》 （GB/T 2887-2011）

7) 《信息技术 安全技术 信息安全控制实践指南》 （GB/T 22081-2016）

8) 《信息技术 安全技术 信息安全风险管理》 （GB/T 31722-2015）

9) 《信息安全技术 数据库管理系统安全技术要求》 （GB/T 20273-2019）

10) 《信息安全技术 网络基础安全技术要求》 （GB/T 20270-2006）

11) 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2006）

12) 《信息安全技术 网络安全等级保护测评要求》 （GB/T 28448-2019）

13) 《信息技术 安全技术 信息安全管理体系要求》 （ISO/IEC 27001:2013）

14) 《信息技术 安全技术 信息安全风险管理》 （ISO/IEC 27005:2018）

15) 《信息技术安全评估准则》 （ISO/IEC 15408）

什么是资产评估     

     资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一，资产评估主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重程度；这样，威胁评估就成了对资产所受威胁发生可能性的评估，主要从发生的可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性进行分析；目的是要对组织的归类资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使组织更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，更有合理性的进行新的资产投入。