信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。
依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)、GB/T 20984-2007 《信息安全风险评估规范》等标准规范,进行信息系统安全保障能力级的符合性测评。
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
现场评估实施结束后,评估小组根据测评指导书各个评估项的结果记录进行评估分析,汇总评估结果,并进行整体评估分析,从而形成合理、可信任的评估结论,最后完成评估报告的编制及建议。
业务受理:020-32206063