风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
为什么要做风险评估?
1.更准确地认识风险-系统地评估资产风险事件发生的概率大小和概率分布,及发生后损失的严重程度。帮助区分主要风险和次要风险。
2.保证规划的合理性和可行性-正确反映各风险对信息安全的不同影响,使规划的结果更合理可靠,使在此基础上制定的计划具有现实的可行性。
3.合理选择高效的风险对策组合-风险对策会付出一定代价,需将不同风险对策的适用性与不同风险的后果结合考虑,使不同风险选择适宜的风险对策,形成高效的风险对策组合。
德迅云安全风险评估内容有什么?
第一步:评估准备
1.项目成员人、工具包、访谈表单、流程;
2.制定风险评估方案;
3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。
第二步:技术评估
1.基线评估:对主机、网络设备、数据库、中间件(账户安全、访问控制、网络安全等27项);
2.应用评估:安全功能、日常维护(身份认证、访问权限控制、传输安全等12项);
3.渗透测试:业务系统、APP程序、微信小程序(信息泄露、注入漏洞、逻辑错误等15项)。
第三步:管理评估
1.技术管理评估:物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性;
2.组织管理评估:安全策略、组织安全、资产分类与控制、人员安全、符合性。
第四步:评估报告
1.列出在风险评估工作中,发现的重要资产分布、脆弱性分布及综合威胁分布;
2.详细描述安全风险现状及评估分析结果;
3.提出风险控制方案,为之后的加固整改提出合理化建议。
