普通旺铺
青海第三方安全评估价格价格合理「多面魔方」
来源:2592作者:2022/9/1 15:14:00
企业视频展播,请点击播放
视频作者:多面魔方(北京)技术服务有限公司







安全评估服务——网络安全的评估原因

这是一种纯粹的技术评估方法学,他会让人们对现今的公共网络所面临的威胁、所存在的漏洞及漏洞披露方式有一个更为深刻的理解。在系统安全领域,所进行的数以万计的渗透测试的目的是“识别被测系统的技术漏洞,以便纠正这些漏洞或者降低由这些漏洞所带来的风险”。对于为什么要进行渗透测试而言,这是一个清晰、简明但也是错误的理由。会逐渐认识到,大多数情况下漏洞及其披露缘于系统管理不善、没有及时打补丁、弱口令策略、不完善的存取控制机制等等。




安全评估服务 - 流程介绍

准备阶段:

1、确定评估范围:提出信息系统的目的、需求、规模和安全要求。

2、建立评估组织架构:责任人及编制信息安全评估方案及计划。

3、项目启动会议:讲解方案计划明晰责任及流程,输出会议纪要。

输出成果:《安全风险评估评估组织》、《保密协议书》、《信息安全风险评估方案与计划》、《安全风险评估工作启动会议纪要》等

资产识别:

1、资产收集:业务应用、文档和数据(网络拓扑、资产台账、相关文档及数据)、软硬件资产、物理环境(机房)、组织管理(规章制度);

2、区分资产重要性:结合业务情况及实际依赖程度区分重要资产与非重要资产;

3、重要资产估值与确认。

输出成果:《资产识别表》、《重要资产估值表》等。

脆弱性威胁评估:

1、脆弱性评估:1)技术性弱点、2)操作性弱点、3)管理性弱点;

2、威胁评估:1)人员威胁、2)系统威胁、3)环境威胁、4)自然威胁;

输出成果:《脆弱性、威胁、风险分析表》、《潜伏威胁评估表》。

防护能力评估:

通过访谈途径识别现有的安全措施并评估其效力。重点分析场景:

1、漏洞利用防护;

2、身份认证;

3、监控审计;

4、应急备份;

5、其他。

输出成果:《防护能力评估表》。

风险分析:

1、风险分析方法;

2、风险等级划分;

3、不可接受风险划分;

4、风险统计。

输出成果:《脆弱性、威胁、风险分析表》。

风险处置:

针对不可接受风险提出相应的整改方案及计划完成时间。

输出成果:《安全风险评估报告》、《安全风险评估工作总结会议纪要》。



网络安全风险评估的依据是什么


风险评估工作主要遵循以下评估依据,并作为评估工作实施的指导文件,部分评估内容将参考或借鉴指导文件内容。

1) 《中华人民共和国网络安全法》

2) 《国家网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》(国信办[2006]5 号)

3) 《信息安全技术 信息安全风险评估规范》 (GB/T 20984-2007)

4) 《信息安全技术 信息安全风险评估实施指南》 (GB/T 31509-2015)

5) 《信息安全技术 信息安全事件分类分级指南》 (GB/Z 20986-2007)

6) 《计算机场地通用规范》 (GB/T 2887-2011)

7) 《信息技术 安全技术 信息安全控制实践指南》 (GB/T 22081-2016)

8) 《信息技术 安全技术 信息安全风险管理》 (GB/T 31722-2015)

9) 《信息安全技术 数据库管理系统安全技术要求》 (GB/T 20273-2019)

10) 《信息安全技术 网络基础安全技术要求》 (GB/T 20270-2006)

11) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2006)

12) 《信息安全技术 网络安全等级保护测评要求》 (GB/T 28448-2019)

13) 《信息技术 安全技术 信息安全管理体系要求》 (ISO/IEC 27001:2013)

14) 《信息技术 安全技术 信息安全风险管理》 (ISO/IEC 27005:2018)

15) 《信息技术安全评估准则》 (ISO/IEC 15408)






刘斌 (业务联系人)

18511298320

商户名称:多面魔方(北京)技术服务有限公司

版权所有©2024 天助网