海南网络安全评估业务在线咨询 多面魔方技术服务公司

做风险评估会带来什么收益

1、资产识别

      帮助您对组织内资产进行梳理，针对在传统资产清理过程中，比较容易被忽略的数据资产，服务资产等，使客户从原有的固定资产保护，提升为信息资产保护。

      帮助您进行组织内资产的分级管理，通过定量分析，明确各信息系统对客户的重要程度，通过有效整合信息系统的安全需求，在有限的资源环境下，更好的提高客户的信息安全水平。

2、平衡安全风险和成本

      帮助您在安全建设过程中综合平衡安全风险与成本代价，信息安全工作的主要目标就是实现在较低资源消耗的情况下，达到较高的安全水平。通过对发现的问题和风险进行管理，提供方案建议，使客户避免投入大量资源，但安全工作仍迟迟不见起色的现象。

3、风险识别

     对关键信息资产进行梳理，识别资产的重要性；清晰自身所面临的威胁及其威胁方式方法，便于有针对性地防护。认识自身存在的脆弱性不足，能够有目的性的进行补遗整改。同时可以了解网络与信息系统的安全状况，了解自身存在信息安全管理漏洞。

什么是定性分析方法

      定性分析方法是目前采用的主流的一种风险评估方法，它带有较强主观性，需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、现有安全防护的效力等）的大小或者高低程序定性分级，例如“极高”，“高”，“中”，”低“，”极低“五极。

      定性分析的操作方法可以多种多样，包含头脑风暴、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。

脆弱性的分类

脆弱性是针对每一个需要保护的信息资产所存在的弱点，常见的弱点有三类：

1、技术型弱点——系统、程序 、设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞。

2、操作型弱点——软件和系统在配置、操作、使用中的缺陷，包含人员在日常工作中的不良习惯，审计和备份的缺失等。

3、管理型的弱点——策略、程序 、规章制度、人员意识、组织结构等方面的不足。