針對信息安全策略層面、信息安全管理層面、組織結(jié)構(gòu)和管理制度層面和信息安全技術(shù)四個方面提供全面的風(fēng)險評估過程,識別、分析和處置相關(guān)信息安全風(fēng)險,形成綜合性信息安全風(fēng)險管理框架。
一、信息安全風(fēng)險評估方法
通過完整的信息安全風(fēng)險評估可以更加深入的了解客戶方信息安全管理現(xiàn)狀,企業(yè)業(yè)務(wù)運營的特定環(huán)境中存在的信息安全隱患,以及幫助客戶形成信息安全風(fēng)險庫及評估模板,建立有效的風(fēng)險管理工具,形成未來動態(tài)的、可持續(xù)改進的信息安全風(fēng)險管理機制,進而幫助客戶實現(xiàn)信息安全目標。通過對潛在信息安全風(fēng)險進行量化分析和描述,以數(shù)字化的形式展現(xiàn)風(fēng)險的影響范圍和發(fā)生的可能性,進而幫助客戶確定信息安全管理建設(shè)的詳細需求和風(fēng)險處置的投資成本收益。
二、實施要點:
強調(diào)特定業(yè)務(wù)環(huán)境中的風(fēng)險來源和識別。潤星的信息安全風(fēng)險評估方法在識別業(yè)務(wù)流程和信息資產(chǎn)的基礎(chǔ)上,創(chuàng)新的加入了對業(yè)務(wù)環(huán)境和風(fēng)險源的識別,從而使特定業(yè)務(wù)環(huán)境成為立體的、可見的風(fēng)險控制模塊,同時在此基礎(chǔ)上,通過識別業(yè)務(wù)流程和信息資產(chǎn)的風(fēng)險來源,從而精準定位信息安全風(fēng)險發(fā)生的可能性與影響程度,最終為客戶呈現(xiàn)一幅完整且準確的風(fēng)險處置菜單。
量化分析和評價信息科技風(fēng)險。潤星的信息安全風(fēng)險評估采用模糊理論和概率論方法,將定性的風(fēng)險評估與定量的方法相結(jié)合,最終呈現(xiàn)給客戶一套數(shù)字化的風(fēng)險評估結(jié)論,支撐客戶做出科學(xué)的風(fēng)險處置決策。
區(qū)分風(fēng)險優(yōu)先級,保障處置成本收益最大。潤星的信息安全風(fēng)險評估方法中的影響范圍識別,可以清晰地呈現(xiàn)所識別的信息安全風(fēng)險對于企業(yè)業(yè)務(wù)網(wǎng)絡(luò)的影響區(qū)間和作用深度。
三、風(fēng)險評估實施流程
根據(jù)信息安全風(fēng)險評估結(jié)果,結(jié)合企業(yè)特有的風(fēng)險承受偏好,潤星將會為客戶實施信息安全管理機制優(yōu)化。