信息系統(tǒng)基本情況調(diào)研

信息資產(chǎn)收集、梳理、分類

信息資產(chǎn)重要性程度賦值

識(shí)別分析威脅及風(fēng)險(xiǎn)來源、方式及可能性

評(píng)估信息資產(chǎn)面臨威脅及風(fēng)險(xiǎn)的嚴(yán)重程度并賦值

通過訪談?wù){(diào)研、人工審計(jì)、工具掃描的方式對(duì)技術(shù)與管理進(jìn)行評(píng)估

確認(rèn)已有安全控制措施及其有效性

根據(jù)信息資產(chǎn)重要性程度、脆弱性、威脅性確定信息系統(tǒng)風(fēng)險(xiǎn)等級(jí) 

評(píng)估信息系統(tǒng)面臨的殘余風(fēng)險(xiǎn)

提出風(fēng)險(xiǎn)處置建議，以控制或降低風(fēng)險(xiǎn)等級(jí)

《資產(chǎn)賦值識(shí)別清單》《系統(tǒng)脆弱性評(píng)估報(bào)告》《威脅評(píng)估報(bào)告》《風(fēng)險(xiǎn)分析及處置報(bào)告》

• ? 梳理企業(yè)資產(chǎn)，分析系統(tǒng)漏洞，明確系統(tǒng)存在的風(fēng)險(xiǎn)
• ?? 有助于提升系統(tǒng)安全性能，大大降低被攻擊的危險(xiǎn)
• ?? 指導(dǎo)安全建設(shè)，節(jié)約資金、人力、時(shí)間