通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全系统安全。评估范围为总部机房所有增值系统,评估内容涵盖管理层面、网络层面、主机终端层面、数据与应用层面以及物理层面。
对现有信息安全资源进行整合、整改的同时,按照国家信息安全管理规定,结合甲方实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制
【信息安全风险评估概述】
腾惟科技参考国际标准BS13335和国家标准GB20948,借鉴国内外先进的风险评估模型,采用专业的安全评估工具,对信息系统的安全管理和安全技术进行全面的安全评估,为信息系统的规划建设和安全整改提供依据。
【信息安全风险评估原理】
信息安全风险评估以资产为核心,识别资产本身存在的脆弱性和面临的安全威胁,由资产的重要性、脆弱性的严重程度和威胁发生的频率分析系统可能存在的安全风险及风险的重要程度,根据企业爱好和管理层的可接受程度设置风险处置计划,将风险造成的损失尽可能降至最低。
【信息安全风险评估内容】
♦ 网络安全评估:包括对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估。
♦ 系统安全评估:包括对操作系统安全性的全面评估。
♦ 应用安全评估:包括对数据库管理系统、WEB服务器、中间件和应用软件的安全性进行全面评估。
♦ 管理安全评估:对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估。
♦ 渗透性测试:对网络、数据库和应用系统中存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证,识别系统中存在的各种威胁途径,并且提出规避措施。
【信息安全风险评估过程】
共分为申请受理、准备、实施、评估、结题五个阶段。
申请受理阶段:售前与委托单位就风险评估项目进行前期沟通,签署《保密协议》,接收委托单位提交的资料,协助委托单位提交《信息系统安全风险评估委托书》,必要时由中心技术部门为委托单位提供技术咨询。前期沟通结束后,双方签署《信息系统安全风险评估合同》。
准备阶段:项目进场实施前的准备工作,主要由项目经理负责。项目经理组织召开由双方参与的首次工作安排会议、编写制定《信息系统安全风险评估方案》。项目经理在与客户确定现场核查测试的具体日期、客户方配合的人员、现场配合等注意事项后方可准备进场实施测试。
实施阶段:项目组成员进入客户现场实施现场检查工作。现场检测时,由项目经理提出测评工作要求,明确项目组成员承担的测试内容,检测人员填写《现场检测表》。
评估阶段:项目组整理核查测试数据,对资产、威胁、脆弱性和风险进行分析,形成《信息系统安全风险评估核查测试报告》和《信息系统安全风险评估报告》。
结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。
【信息安全风险评估愿景】
我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询,从而保障用户的安全系统的正常运行和持续优化。
我们以客户信息安全服务的总体框架为基础、以安全策略为指导,通过统一的安全综合管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,保障信息平台的稳定持续运行。