服务内容
风险评估是指依据国家有关信息安全技术标准,对信息系统及其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学评价的过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的负面影响,并根据安全事件发生的可能性及其负面影响计算风险值,完成风险评估报告。评估模型
威胁评估是对资产所受威胁发生可能性的评估,主要从威胁源的动机和能力两个方面进行分析。
脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被利用成功后的严重性两方面进行分析。
安全措施有效性评估主要考虑安全措施在防范威胁、减少脆弱性方面的有效性进行分析和评估。
风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。