浙江省信息安全风险评估、信息系统安全等级保护测评、信息系统安全等级保护备案咨询

主要服务咨询项目为软件产品测试咨询、电子产品检测咨询、软件第三方验收测试咨询、科技项目验收测试咨询、信息系统第三方检测咨询、集成电路检测咨询、芯片检测咨询、IC检测咨询、信息化项目技术绩效评估(网站或系统绩效评估）咨询、政务信息化项目效能评估咨询、信息系统安全等级保护备案咨询、信息系统安全等保报告咨询、网络安全等保测评咨询、信息系统安全等级保护测评咨询、信息安全风险评估咨询、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网)咨询、广东省守合同重企业、民用无人驾驶航空器经营证、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业资质、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518

信息化技术的广泛应用，在提高科研、生产效率和质量的同时，也极大地增加了信息安全风险。目前解决信息安全问题普遍采用的方法是风险评估，从风险管理的角度，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生时可能造成的危害程度，并提出有针对性的防护对策和整改措施，将风险控制在可接受的水平，最大程度地保障信息安全。

　　信息安全风险评估分为自评估和检查评估两种形式。风险自评估是建立信息安全体系的基础和前提，目前风险自评估没有统一的标准和方法，如何组织风险自评估是困扰评估单位的难题，也是本文的主要讨论内容。

　　信息安全风险评估理论和方法

　　1. 风险管理过程

　　信息安全风险管理的内容和过程如下图所示。

信息安全风险管理的内容和过程

　　背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤。

　　（1）背景建立阶段：确定风险管理的对象和范围，进行相关信息的调查分析，准备风险管理的实施。

　　（2）风险评估阶段：根据风险管理的范围识别资产，分析信息系统所面临的威胁以及资产的脆弱性，结合采用的安全控制措施，在技术和管理两个层面对信息系统所面临的风险进行综合判断，并对风险评估结果进行等级化处理。

　　（3）风险处理阶段：综合考虑风险控制的成本和风险造成的影响，从技术、组织和管理层面分析信息系统的安全需求，提出实际可行的安全措施。明确信息系统可接受的残余风险，采取接受、降低、规避或转移等控制措施。

　　（4）批准监督阶段：包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求，决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督，在可能引入新的安全风险并影响到安全保障级别时，启动新一轮的风险评估和风险处理。

　　监控审查和沟通咨询贯穿于上述4个基本步骤，跟踪系统和信息安全需求的变化，对风险管理活动的过程和成本进行有效控制。

　　2. 风险分析原理

　　风险分析原理如下图所示。

风险分析管理

　　风险值=R（A,T,V）

　　R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性。资产、威胁和脆弱性是风险的3个因素，是风险分析的基础。根据风险分析原理，首先应进行资产、威胁和脆弱性识别，分析得出资产价值、威胁出现的频率和脆弱性的严重程度，然后分析计算安全事件的可能性和损失程度，得出风险值。

　　3. 风险因素识别

　　资产在表现形式上可分为数据、软件、硬件、服务、人员等类型。根据风险评估的范围识别出关键资产与一般资产，形成需要保护的资产清单。根据资产在保密性、完整性和可用性3个方面的安全属性，结合评估单位业务战略对资产的依赖程度等因素，对资产价值进行评估。

　　威胁具有多种类型，如：软硬件故障、物理环境影响、管理问题、恶意代码、网络攻击、物理攻击、泄密、篡改等。有多种因素会影响威胁发生的可能性，如：攻击者的技术能力、威胁行为动机、资产吸引力、受惩罚风险等。在威胁识别阶段，评估者依据经验和相关统计数据对威胁进行识别，并判断其出现的频率。

　　脆弱性的识别可以以资产为核心，针对资产识别可能被威胁利用的弱点进行识别，也可以从物理、网络、系统、应用、制度等层次进行识别，然后与资产、威胁对应起来。在此过程中应对已采取的安全措施进行评估，确认其是否有效抵御了威胁、降低了系统的脆弱性，以此作为风险处理计划的依据和参考。

　　4. 风险评估方法

　　风险评估方法概括起来可分为定量、定性、以及定性与定量相结合的评估方法。

　　定量评估法基于数量指标对风险进行评估，依据专业的数学算法进行计算、分析，得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。有些情况下定量法的分析数据会存在不可靠和不准确的问题：一些类型的风险因素不存在频率数据，概率很难精确。在这种情况下单凭定量法不能准确反映系统的安全需求。

　　定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断，重点关注安全事件所带来的损失，而忽略其发生的概率。定性法在评估时使用“高”“中”“低”等程度值，而非具体的数值。典型的定性分析法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。定性分析法可以挖掘出一些蕴藏很深的思想，使评估结论更全面、深刻，但其主观性很强，对评估者本身的要求较高。

　　定量与定性的风险评估法各有优缺点，在具体评估时可将二者有机结合、取长补短，采用综合的评估方法以提高适用性。

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区