信息安全风险评估包括风险识别、风险分析、风险评价、风险处置四个阶段。
风险识别
对评估对象开展资产识别、威胁识别、已安全措施识别和脆弱性识别。
风险分析
评估专家在风险识别基础上开展风险分析,综合计算得出风险值。
风险评价
评估专家根据风险评价准则,对系统资产风险和业务风险计算的结果进行等级划分。
风险处置
根据风险评价结果提出风险处置建议,制定风险处置计划。
通过资产发现和脆弱性分析,识别信息系统、IT环境、工作流程中存在的安全风险并进行修补,消除安全隐患。
通过安全评估和威胁分析,制定适合企业客观条件及实际业务的安全策略、制度和目标。
实战对抗,精准溯源
