信息安全評估是從風險管理角度，運用科學的方法和手段，系統分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，并提出有針對性的抵御威脅的防護對策和整改措施。

 

企業面臨的主要信息安全問題

人員問題

2  信息安全意識薄弱的員工誤操作、誤設置造成系統宕機、數據丟失，信息泄漏等問題

2  特權人員越權訪問，如：系統管理員，應用管理員越權訪問、傳播敏感數據

2  內部員工和即將離職員工竊取企業秘密，尤其是骨干員工流動、集體流動等

技術問題

2  病毒和黑客攻擊越來越多、爆發越來越頻繁，直接影響企業正常的業務運作

法律問題

2  網絡濫用：員工發表政治言論、訪問非法網站

2  法制不健全，行業不正當競爭（如：竊取機密，破壞企業的業務服務）

風險評估實施流程

  

輸出結構

p  最終報告

《風險評估報告》

?    風險評估范圍

?    資產評估報告

?    威脅評估報告

?    脆弱性評估報告

?    風險分析報告

《安全現狀分析報告》

《安全建議方案》

 《安全規劃方案》

p  ISMS管理體系

p  測試及加固報告

《安全漏洞掃描報告》

《網絡設備人工檢查報告》

《主機設備人工檢查報告》

《日志分析報告》

《滲透測試報告》

《安全修補及加固方案》