风险评估是指从风险管理角度,依据国家有关信息安全技术标准和准则,运用科学的方法和手段,对信息系统及处理、传输和存储信息的保密性、完整性及可用性等安全属性进行全面科学地分析;对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价,并提出有针对性地抵御威胁的防护对策和整改措施。
无论企业的规模、所属行业或地理位置如何,缩短上市时间、获得成本优势和提高客户满意度是企业走上数字化转型之路的原因。
计算、存储、网络、云和传感器技术不断发展,不仅为企业创造了新的机会,也带来了日益复杂的网络攻击威胁——这些网络攻击的目的在于破坏企业的运转,或操纵、窃取敏感的业务和客户数据。
风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:识别组织面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。
风险评估过程中需要考虑几个关键问题:
- 要确定保护的对象是什么?它的直接和间接价值如何?
- 资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
- 资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
- 一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
- 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
风险评估的意义
- 认识风险及对其目标的潜在影响
- 有助于明确需要有限处理的风险事件
- 为决策者提供信息和解决思路
- 有助于通过事后调查来进行事故预防
- 有助于认识风险,以便帮助选择对应策略
- 有助于风险应对策略的选择
- 识别那些造成风险的主要因素,揭示系统和组织的薄弱环节。
- 满足监管需求
我们的服务
我们通过网络信息安全各领域的全球专家网络,为您提供解决方案。我们的全球IT安全服务组合覆盖从战略咨询、设计与流程优化到系统实施、操作和托管服务等。凭借我们的专业技术、行业知识和战略咨询服务,我们可保护全球企业在日益数字化的世界中安全无虞。
TISAX汽车行业信息安全评估
作为全球为数不多的经过授权的TISAX 评估机构之一,以TISAX(可信信息安全评估交换)评估模式为基础,提供汽车行业信息安全水平评估服务。
信息安全和隐私保护
产品隐私保护评估:根据标准2PfG 2624, 从数据、网络传输、文档记录、功能设计四个方面,对智能产品和应用程序的隐私保护程度进行全面评估。评估完成后,出具德国专业报告。
产品隐私保护认证:基于产品在隐私保护和渗透性测试方面的验证结果,提供产品隐私保护认证。
渗透性测试
提供硬件(保护嵌入式系统及固件)、软件云平台、基础设施及攻防模拟对抗的渗透性测试。渗透测试模拟黑客攻击对测试目标进行信息收集、风险评估、漏洞发现及利用,进而提出修复建议。渗透测试能直观反映测试目标的漏洞和风险等级,帮助客户改善其安全机制,避免漏洞意外触发而造成不可估量的损失。另外,渗透测试的结果也能够支持信息安全行业相关的认证工作,为客户顺利通过相关认证保驾护航。
道路车辆网络安全
ISO/SAE 21434针对道路车辆及其部件、接口等提出网络安全风险管理的要求,定义了车辆生命周期包括车辆工程、生产、操作、维护和退役等各阶段的要求。为客户提供基于ISO/SAE 21434的培训、技术指导、认证服务。
工业领域网络安全
各国、各行业制定工控相关标准政策都会参考和吸收IEC 62443提供的概念、方法和模型。IEC认证包括网络测试、安全性弹性测试和开发过程审核。为客户提供基于IEC62443的培训、技术指导、认证服务。