风险评估

风险评估
01

服务概述

风险评估服务是对组织信息系统安全现状,对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性评估,最终提供全面的风险评估报告。

02

用户需求

合规监管趋严,安全通报屡见不鲜

《网络安全法》要求组织每年至少进行一次风险检测评估,大部分组织的安全建设集中在安全设备采购,部署实施后受限于人力、技术的保障,导致依旧存在安全问题致使被监管通报。

安全现状不清晰,存在各类安全问题

组织未掌握内部信息资产的现状,无法全面识别资产存在的安全问题,导致资产的弱点被威胁所利用。

效率及成本与安全建设成反比

安全建设成本增加后,业务流程将更加复杂,便捷性降低,迫使业务效益降低,组织无法在同时满足业务发展目标和安全建设成本之间找到平衡点。

03

服务内容

  • 01

    资产识别

    根据组织提供的资产,从资产的机密性、完整性、可用性(CIA三要素)进行赋值并识别出重要资产。

  • 02

    威胁识别

    通过对组织系统的环境因素和人为因素识别出威胁种类,并对识别出的威胁种类进行赋值。

  • 03

    脆弱性识别

    根据技术和管理两个方面对组织资产进行脆弱性识别及赋值。技术脆弱性识别主要包括物理环境、网络结构、系统软件、应用中间件、应用系统;管理脆弱性识别主要包括技术管理和组织管理。

  • 04

    已有安全措施确认

    对组织系统已采取的安全措施的有效性进行确认。

  • 05

    风险分析

    在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织系统的影响,出具风险评估报告。

04

服务优势

专业的服务队伍

服务队伍由持有CISP、CISP-PTE渗透测试、CISAW风险评估、CISAW应急处理、CISAW软件安全开发、CSIAW安全集成、CCSK云安全专家、27001 Foundation信息安全管理体系认证专家、PMP项目经理、中国通信企业协会网络安全人员能力认证、等保建设工程师等资质的技术专家组成,该团队拥有先进的安全理念和成熟的安全技术。

全面的服务资质

星云博创在信息安全领域拥有全面的安全服务资质,如:国家互联网应急中心CNCERT网络安全应急服务支撑单位;CNNVD国家信息安全漏洞库技术支撑单位;中国信息安全测评中心风险评估、安全工程资质;中国通信企业协会风险评估、安全设计与集成资质;中国信息安全认证中心风险评估、应急处理、软件安全开发、安全集成、安全运维资质;国家认证中心ISO9001/20000/27001管理体系认证等。

丰富的服务经验

星云博创专业安全服务团队承接过国内多个大型安全评估项目,具有运营商、政府、大型企业等行业的大量成功标杆性项目经验,典型客户如:中国移动、中国电信、中国联通、国家电网、市场监督管理局、教育局等,积累了丰富的安全服务实践经验。

强大的技术后盾

摘星实验室是星云博创旗下专职负责技术研究的安全实验室,实验室主要致力于攻防技术人员培养、攻防技术研究、安全领域前瞻性技术研究,可为公司产品研发、安全项目及客户服务提供强有力的技术支撑。

05

客户收益

  • 了解安全现状

    按照国家标准或相关规范要求开展风险评估,帮助组织摸清安全现状。

  • 辅助管理层决策

    通过对组织的安全现状进行评估,可以使组织信息系统的相关管理者从组织战略及业务的高度,增强信息安全意识,提高安全防范水平,制定安全整改计划,消除安全隐患。

  • 满足合规检查

    针对组织安全需求,提供专业高效的安全评估服务,提前发现潜在漏洞,及时处置安全问题,规避监管部门的安全通报,从容应对监管要求的合规性检查。

06

客户案例

中国移动中国电信国家电网政府行业