广电计量参照风险评估标准和管理规范,针对系统的威胁性和脆弱性,对信息系统及其处理、传输和存储的数据信息的保密性、完整性和可用性等安全属性进行科学评估,为客户识别当前信息系统、业务逻辑层面的信息安全风险,并提供技术支持协助客户进行有效的风险处置规划建议。
阶段 |
服务内容 |
服务介绍 |
准备阶段 |
系统调研 |
对被评估系统的调查了解情况,涉及网络结构、系统情况、业务应用等内容,生成《系统调研表》。 |
制定风险评估方案 |
根据调研情况及评估目的,确定评估的目标、范围、对象、工作计划、主要技术路线、应急预案等,生成《风险评估方案》。 |
|
识别阶段 |
资产识别 |
资产调查情况,分析资产价值,以及重要资产说明,生成《资产价值分析报告》。 |
威胁识别 |
威胁调查情况,明确存在的威胁及其发生的可能性,以及严重威胁说明,生成《威胁分析报告》。 |
|
脆弱性识别 |
从技术脆弱性、安全管理脆弱性方面识别脆弱性,生成《脆弱性分析报告》、《渗透测试报告》等。 |
|
已有安全措施分析 |
分析组织或信息系统已部署安全措施的有效性,包括技术和管理两方面的安全管控说明,生成《已有安全措施分析报告》。 |
|
风险分析阶段 |
生成风险评估报告 |
对资产、威胁、脆弱性等评估数据进行关联计算、分析评价等, 应说明风险分析模型、分析计算方法,生成《风险评估报告》。 |
风险处理阶段 |
提出安全整改建议 |
对评估中发现的安全问题给予有针对性的风险处理建议。 |
(1)适用于通信、电力、能源、医疗、交通运输、制造、教育等行业
(2)适用于所有信息化企业
获得中国网络安全审查技术与认证中心(CCRC)颁发的信息安全服务资质认证证书
(1) GB/T 20984-2007 信息安全技术 信息安全风险评估规范
(2) GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
(3) GB/T 18336-2001 信息安全技术 信息技术安全性评估准则
(4) GB/T 31722-2015 信息技术 安全技术 信息安全风险管理
(5) GB/T 33132-2016 信息安全技术 信息安全风险处理实施指南
(6) GB/T 22080-2016 信息技术 安全技术 信息安全管理体系要求
(7) GBT/ 27921-2011 风险管理 风险评估技术
在这个互联网时代,信息安全是每一家企业都应该重视的事情。要知道信息一旦被黑客攻下,那么带来的损失是无法衡量的。因此日常做好信息安全风险评估的工作是非常有必要的,但并不是每个企业都设有专门的岗位来进行风险评估,因此我们提供咨询服务来协助客户完成风险评估。
(1)广电计量获得中国网络安全审查技术与认证中心(CCRC)颁发的信息安全服务资质认证证书;
(2)广电计量拥有专业的信息安全管理服务团队,团队成员拥有丰富的风险评估咨询服务经验。
(3)广电计量在全国共有六十余个分子公司,秉持科学、公正、准确、快捷、周到的服务理念,助力各类型企业开展信息安全风险评估,提升信息安全风险管理水平。