- 发布
- 多面魔方(北京)技术服务有限公司
- 电话
- 010-62962822
- 手机
- 18511298320
- 发布时间
- 2022-12-27 13:04:37
做风险评估会带来什么收益
1、资产识别
帮助您对组织内资产进行梳理,针对在传统资产清理过程中,比较容易被忽略的数据资产,服务资产等,使客户从原有的固定资产保护,系统风险评估流程,提升为信息资产保护。
帮助您进行组织内资产的分级管理,通过定量分析,明确各信息系统对客户的重要程度,系统风险评估,通过有效整合信息系统的安全需求,系统风险评估检查,在有限的资源环境下,更好的提高客户的信息安全水平。
2、平衡安全风险和成本
帮助您在安全建设过程中综合平衡安全风险与成本代价,信息安全工作的主要目标就是实现在较低资源消耗的情况下,达到较高的安全水平。通过对发现的问题和风险进行管理,提供方案建议,使客户避免投入大量资源,但安全工作仍迟迟不见起色的现象。
3、风险识别
对关键信息资产进行梳理,识别资产的重要性;清晰自身所面临的威胁及其威胁方式方法,便于有针对性地防护。认识自身存在的脆弱性不足,能够有目的性的进行补遗整改。同时可以了解网络与信息系统的安全状况,了解自身存在信息安全管理漏洞。
网络安全风险评估的必要性
网络与信息安全形势近年发生了巨大变化,以云计算、大数据、物联网、工业互联网、移动互联网为代表的新技术得到了快速应用,科技变革给人们的生活带来诸多便捷的同时,也带来了更多的信息安全隐患和安全挑战。纵观近几年国内外网络与信息安全态势,可以发现网络安全事件发生频率整体呈上升趋势,安全态势变得越来越复杂。LS病毒、挖矿病毒、可延续多年的 APT 攻击、暗网传播的大量 0day 漏洞以及个人信息泄露等安全问题让各大组织面临着挑战,也严重威胁到国家的网络空间安全。
同时,《中华人民共和国网络安全法》(简称《网络安全法》)于 2016 年 11 月 7 日发布,自 2017 年 6 月 1 日起施行。《网络安全法》提出鼓励、开展、建立运营单位的网络与信息安全评估活动、建立健全风险评估体系等系列要求。 2019 年 5月 10 日,系统风险评估业务,GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》正式颁布,自 2019 年 12 月 1 日起施行。加上已于 2015 年 5 月 15 日发布, 2016 年 1 月 1 日实施的 GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》,自此, 近年来陆续发布的具有先进性和前瞻性的国家法律和标准,为各类识别网络安全风险的评估活动提出了进行风险评估工作的要求。
网络安全风险评估模型
风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。如下图中的风险要素及属性之间存在着以下关系: