針對信息安全策略層面、信息安全管理層面、組織結(jié)構(gòu)和管理制度層面和信息安全技術(shù)四個方面提供全面的風(fēng)險評估過程，識別、分析和處置相關(guān)信息安全風(fēng)險，形成綜合性信息安全風(fēng)險管理框架。

一、信息安全風(fēng)險評估方法

通過完整的信息安全風(fēng)險評估可以更加深入的了解客戶方信息安全管理現(xiàn)狀，企業(yè)業(yè)務(wù)運營的特定環(huán)境中存在的信息安全隱患，以及幫助客戶形成信息安全風(fēng)險庫及評估模板，建立有效的風(fēng)險管理工具，形成未來動態(tài)的、可持續(xù)改進的信息安全風(fēng)險管理機制，進而幫助客戶實現(xiàn)信息安全目標。通過對潛在信息安全風(fēng)險進行量化分析和描述，以數(shù)字化的形式展現(xiàn)風(fēng)險的影響范圍和發(fā)生的可能性，進而幫助客戶確定信息安全管理建設(shè)的詳細需求和風(fēng)險處置的投資成本收益。

二、實施要點：

強調(diào)特定業(yè)務(wù)環(huán)境中的風(fēng)險來源和識別。潤星的信息安全風(fēng)險評估方法在識別業(yè)務(wù)流程和信息資產(chǎn)的基礎(chǔ)上，創(chuàng)新的加入了對業(yè)務(wù)環(huán)境和風(fēng)險源的識別，從而使特定業(yè)務(wù)環(huán)境成為立體的、可見的風(fēng)險控制模塊，同時在此基礎(chǔ)上，通過識別業(yè)務(wù)流程和信息資產(chǎn)的風(fēng)險來源，從而精準定位信息安全風(fēng)險發(fā)生的可能性與影響程度，最終為客戶呈現(xiàn)一幅完整且準確的風(fēng)險處置菜單。

量化分析和評價信息科技風(fēng)險。潤星的信息安全風(fēng)險評估采用模糊理論和概率論方法，將定性的風(fēng)險評估與定量的方法相結(jié)合，最終呈現(xiàn)給客戶一套數(shù)字化的風(fēng)險評估結(jié)論，支撐客戶做出科學(xué)的風(fēng)險處置決策。

區(qū)分風(fēng)險優(yōu)先級，保障處置成本收益最大。潤星的信息安全風(fēng)險評估方法中的影響范圍識別，可以清晰地呈現(xiàn)所識別的信息安全風(fēng)險對于企業(yè)業(yè)務(wù)網(wǎng)絡(luò)的影響區(qū)間和作用深度。

三、風(fēng)險評估實施流程

根據(jù)信息安全風(fēng)險評估結(jié)果，結(jié)合企業(yè)特有的風(fēng)險承受偏好，潤星將會為客戶實施信息安全管理機制優(yōu)化。