风险评估
等级保护专家咨询服务
结合国家相关政策,根据企业、单位和部门的实际网络和应用,提供等级保护政策咨询、不同等级间互联方案、等级保护技术措施和管理测评认证等方面的专家咨询服务。
等级保护下的风险评估服务
国家政策、标准、指南对信息系统的不同安全保护等级已提出基本要求,但是,不同的信息系统有其特殊性和复杂性,通过风险评估对信息系统特殊性进行评估,进而调整信息系统的等级保护基本要求,从而提取出信息系统的安全需求。等级保护下的风险评估服务如下所示。
等级保护下的风险评估服务
风险评估包括三个子服务:
1)信息系统的资产分析与统计;
2)信息系统的威胁分析,包括对各种物理的、网络的、介质的、管理和运行中的威胁的分析;
3)信息系统的脆弱性分析(含采用专业的漏洞扫描工具进行漏洞扫描);
深度安全服务与等级保护相结合,按需定制,避免了安全盲目投资与浪费。同时深度安全服务以风险评估作为出发点,以风险评估作为结束点,完成了一个基于PDCA(Plan-Do-Check-Action)的安全风险服务过程。
等级化的信息安全保障体系设计服务
根据信息系统安全等级化保护制度(信息系统分层、分级、分域)、IATF(信息保障技术框架)、ISSE(信息系统安全工程)和PDCA(计划、实施、检测、响应)管理过程等标准和规范,为客户定制一整套等级化信息安全保障体系。如下图所示。
信息系统安全保障体系服务
网友评论