服务介绍

信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。

信息系统已成为金融、运营商、国有企业、政府机构等部门的业务运行的关键要素，资产存在的脆弱性，面临的威胁随系统规模的扩大而变得复杂，因此单位在信息系统方面花费了大量的人力和物力来进行信息安全保障体系的建设。

安全风险评估咨询服务根据GB/T18336《信息技术安全性评估通用准则》、GB/T20984-2007《信息安全技术 信息安全风险评估规范》等国家标准及相关技术规范进行安全评估。基于多角度、多纬度的全面评估，细粒度呈现系统的安全现状，由风险评估形成的风险导图，将作为后期的应急响应制度建设、立体的安全防护体系建设的基础。

风险评估流程

通过专业技术对信息系统进行全面的安全评估工作，深入分析涉及业务系统的相关物理安全、网络安全、主机安全、应用安全和管理安全的风险，及时、高效、迅速的发现业务系统面临的威胁、脆弱性以及不安全因素，对发现的安全隐患进行人工分析及验证，找出安全风险点，根据评估结果提供风险评估报告及系统修复建议。

客户获益

当组织进行信息系统风险评估后，将能为组织提高IT管理水平，全面信息安全风险，同时良好的安全形象还可以促进业务的发展，带来良好的经济和社会效益。主要体现在以下几个方面：

• 加强组织的整体信息风险预防水平；

  
  

• 提高信息系统的风险抵抗能力；

  
  

• 为管理层提供信息化建设的科学决策分析依据；

  
  

• 为组织进行量化风险危害程度；

  
  

• 帮助组织减少信息安全事件发生的机率；

  
  

• 降低组织因信息安全经济损失。

成果输出

《XX业务系统安全风险评估报告》