公司首页
供应商机
关于我们
公司动态
荣誉认证
招聘中心
客户案例
产品知识
在线留言如何进行有效的风险评估?
2022-10-28 浏览次数:213次
因风险评估主要目标是信息系统,故开展风险评估开展之前,首先需要了解的就是此次风评的目标,可以是整个单位的所有信息系统,或者单个系统,单个系统的我们一般都是叫做专项风险评估。
定好风险评估的目标后,就需要对此目标的边界进行定义,可以从以下几个方面考虑:
1)待评估系统的业务逻辑边界(如独立的系统可以不需考虑),例如跟哪些系统有数据交互,避免关联系统被渗透,从而导致此系统也被渗透,可以例举出;
2)网络及设备载体边界,这里较好有网络拓扑图,那样会比较清晰的看到支撑此系统的硬件设备情况,是否有冗余配置,例如服务器、交换机、路由器、安全设备等;
3)物理环境边界,主要讲的是机房的环境,有没有监控设备、防水、防雷、防潮、异常告警,其实等保测评时会考虑这方面,如机房太远或不方便查看,可以看看系统对应的较新测评报告;
4)组织管理权限边界,主要是需要明确目标系统是谁负责开发、维护、管理等。
经历过风险评估同学都知道,这工作是较其复杂的,会涉及非常多的方面,当然如果是传说中的“一个人的安全部”,预算又吃紧的单位,那就只能仰天长叹,默默搬砖吧,单位可以根据公司内部的情况组建团队,也可以委托第三方有风险评估资质的公司负责。
zhaosheng555.b2b168.com/m/
定好风险评估的目标后,就需要对此目标的边界进行定义,可以从以下几个方面考虑:
1)待评估系统的业务逻辑边界(如独立的系统可以不需考虑),例如跟哪些系统有数据交互,避免关联系统被渗透,从而导致此系统也被渗透,可以例举出;
2)网络及设备载体边界,这里较好有网络拓扑图,那样会比较清晰的看到支撑此系统的硬件设备情况,是否有冗余配置,例如服务器、交换机、路由器、安全设备等;
3)物理环境边界,主要讲的是机房的环境,有没有监控设备、防水、防雷、防潮、异常告警,其实等保测评时会考虑这方面,如机房太远或不方便查看,可以看看系统对应的较新测评报告;
4)组织管理权限边界,主要是需要明确目标系统是谁负责开发、维护、管理等。
经历过风险评估同学都知道,这工作是较其复杂的,会涉及非常多的方面,当然如果是传说中的“一个人的安全部”,预算又吃紧的单位,那就只能仰天长叹,默默搬砖吧,单位可以根据公司内部的情况组建团队,也可以委托第三方有风险评估资质的公司负责。
zhaosheng555.b2b168.com/m/
308177750