登录
EN

风险评估

为什么要进行信息安全风险评估?

信息安全事件不可能完全避免,所以保障企业信息安全必须从风险管理的角度出发,控制、缓解和规避风险, 在信息安全和业务发展间找到平衡点。


当前信息系统的安全状况如何?当前信息系统的安全威胁有哪些?安全风险可能导致的损失是多少?在现有有限的安全投资如何抓住重点,是绝大多数企业都会面临的困扰。


信息安全风险评估是信息安全工作的重要工作环节,是信息安全保障体系建立过程中重要的评价方法和决策机制。随着信息安全形势日益严峻,以及国家有关信息安全的法律法规陆续出台,对信息安全工作的要求也越来越严格。信息安全风险评估,是了解、掌握信息系统安全现状,明确信息系统安全需求,贯彻落实各项信息安全管理制度、满足国家监管要求的重要手段。


信息安全风险评估的时机

1、IT系统及安全建设规划

2、系统发生重大变更

3、发生重大安全事件

4、法律法规合规性要求


信息安全风险评估依据

1、GB/Z 24364-2009《信息安全技术 信息安全风险管理指南》

2、GB/T 20984-2007《 信息安全技术 信息安全风险评估规范》

3、GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》

4、ISO/IEC 27005:2008《信息技术–安全技术–信息安全风险管理》

5、NIST SP800-30《IT系统风险管理指南》

信息安全风险评估方法

0910jk.png

您可以获得哪些收益?

1、全面了解组织或系统的安全现状;

2、全面掌握系统面临的安全威胁和存在的脆弱性;

3、科学评价系统面临的各类风险评价;

4、确定组织或系统的安全需求;

5、为制定安全管理、技术措施提供依据;

6、制定落实防范措施及时有效抵御安全风险;

7、落实各种法律法规监管要求。