服务>咨询

信息安全咨询服务

点击下载产品手册

一、   风险评估

随着企业对风险管理的关注度不断上升,IT安全风险成为企业运营风险中最为重要的一个组成部分。近年来,企业的信息安全工作也逐渐地围绕安全风险控制来开展,通过开展信息安全风险评估工作,可全面了解企业信息安全情况,为信息安全建设和运维工作提供重要指导。

风险是特定威胁利用某一资产或一组资产脆弱性,从而对组织产生损害的可能性,分析企业确认拥有的资产及资产所面临的威胁、影响和脆弱性及其发生的可能性,最终得出资产所面临的风险等级,并提出整改建议的过程。

为有效地降低风险评估难度,提升风险评估效率,保障风险评估的准确性,更便于用户实施网络信息系统的自评估工作,降低风险管理成本。根据国家相关标准和国际最佳实践,将评估工作分准备、评估和总结三个阶段为用户做风险评估。

风险评估主要工作包括:

1.      收集评估所需的资产信息、文档等基础资料

2.      鉴别存在的风险以及风险发生的可能性影响

3.      鉴别资产存在的脆弱性以及可能利用脆弱性的威胁

4.      最终选择能将风险降低到企业可接受程度的安全措施

5.      评估现有安全措施的执行情况和有效性

二、   安全规划

信息安全规划主要分现状调研、总体架构设计、项目规划设计三个阶段。

最终从管理、技术和控制三个方面,规划企业的信息安全项目,通过安全项目的开展,提高企业信息安全防护水平。

三、   安全检查

安全检查主要以安全政策与标准为基础,测定现行保护措施整体状况,同时检验是否妥善执行现有的保护措施,主要目的是了解现有环境是否已根据既定的安全策略得到妥善的保护。安全检查是需要周期性进行的检查程序,以确保适当的安全措施已切实执行,是风险评估服务的有效补充。

安全检查工作共包含物理安全、管理安全、网络安全、服务器安全和终端安全等方面的内容。

检查方式:主要通过人工访谈、现场查看、配置核查、漏洞扫描和渗透测试等方式实现安全检查。

1.      通过人工访谈和现场查看了解企业当前环境

2.      使用配置核查工具对网络设备、安全设备和服务器进行配置核查

3.      对网络设备、服务器、终端计算机等进行漏洞扫描

4.      通过渗透测试等技术手段,模拟各种攻击手段,对网站和业务系统实施安全检测,以发现系统可能被恶意利用的脆弱环节

四、   制度完善

信息安全工作的有序、高效开展,需要信息安全制度与标准作为支撑。中油瑞飞采用PDCA理念为企业提供信息制度完善咨询,通过咨询,建立企业信息安全制度与标准框架,并根据实际工作需求,持续完善相应信息安全制度标准。

查看全部
服务图示
同类服务
2019生肖8期