浪潮风险评价-Inspur.PDF

安全服务彩页 浪潮风险评估 1. 浪潮信息安全风险评估 （1 ）概述 浪潮风险评估服务建立在工作流程标准化、技术水平专业化、经验累积知识化之上，从 业务和风险管理的角度出发，采用定性和定量相结合的方法，帮助客户识别 IT 风险、分析 IT 风险、处置 IT 风险，从而建立以风险控制为中心的安全保障体系。 利用 威胁 脆弱性 阻止 增加 增加 暴露 降低 安全措施 风险 资产 入 满足 引 增 加 具有 安全需求 价值 风险评估模型 浪潮风险评估服务包括 IT 风险识别、安全策略评估、远程安全扫描、本地安全检查、 应用安全评估、渗透性测试和综合风险评估等多种方式。通过浪潮风险评估服务可帮助您明 确： （1 ）目前信息系统面临着何种安全风险 ； （2 ）应采取何种安全措施来规避所面临的风险； （3 ）信息安全保障体系建设的优先级； （4 ）与相关法规和标准（如等级保护、ISO27000 ）的符合性； （2 ）业务介绍 业务编号 业务名称 业务说明 对客户IT环境中的关键性IT资产、安全威胁和脆弱 IRE-001 IT风险识别 性进行识别，并评估其风险。 结合国家等级保护政策，以及ISO 27000相关规范 IRE-002 安全策略评估 对客户总体信息安全策略进行综合评估。 利用安全扫描工具对客户信息系统进行远程技术脆 IRE-003 远程安全扫描 弱性评估。 利用自动工具和人工检查的方式，对客户信息系统 IRE-004 本地安全检查 进行本地技术脆弱性评估。 利用自动或人工的方式，对客户应用系统的安全性 IRE-005 应用安全评估 进行评估，并协助其进行改善和加固。 利用各种主流的攻击技术对网络做模拟攻击测试， IRE-006 渗透性测试 以发现系统中的安全漏洞和风险点。 （3 ）评估方式和手段 工作方式 描述 评估小组根据事先准备好的访谈列表，与组织内部负责管理、技术和 访谈 普通员工等各级相关人员进行逐个沟通 ，以全面获取当前信息系统的 安全管理和技术现状，以及可能存在的风险点等相关信息。 评估小组与组织内部的若干人员进行公