風險評估與規(guī)劃

Microsoft把有效的安全措施整合為標準，但是高超的應(yīng)對手法層出不窮。安全系統(tǒng)存在一個適得其反的壞毛病，無疑會引發(fā)重大問題——Rick Maybury

信息系統(tǒng)存在的脆弱性是不可避免的，經(jīng)過幾十年的研究，大家發(fā)現(xiàn)這是由于人為的錯誤所造成的，對于現(xiàn)在我們所使用的一個龐大的、復雜的技術(shù)系統(tǒng)來說，恐怕在長時間內(nèi)是不可避免的。因此，在現(xiàn)實環(huán)境中，人們總是要面臨著各種各樣的威脅，或者是信息安全風險是必然的。在這種情況下，通過適當?shù)?、足夠的，有時候是綜合的安全措施來控制風險，最終目的是使殘余下來的風險可以降低到最低程度。任何信息系統(tǒng)都會有安全風險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在的殘余風險可被接受的信息系統(tǒng)。

服務(wù)介紹：

信息安全風險評估是一個識別、控制、降低或消除可能影響信息系統(tǒng)的安全風險的過程。海峽信息遵照國家《信息安全風險評估規(guī)范》（GB/T 20984-2007）及等級保護系列規(guī)范，遵循ISO27001以及相關(guān)行業(yè)規(guī)范，從安全技術(shù)和安全管理兩個層面入手，全面深入分析信息系統(tǒng)存在的脆弱性、威脅和風險，輸出風險評估報告和風險處置建議。并進一步協(xié)助用戶完成安全規(guī)劃，有步驟有計劃的提升用戶的信息安全保障水平。海峽信息風險評估服務(wù)根據(jù)服務(wù)內(nèi)容不同，可以分解為網(wǎng)絡(luò)安全評估、網(wǎng)站安全評估、應(yīng)用系統(tǒng)安全評估等多種類型。

客戶價值：

（1）認識風險及其對目標的潛在影響；

（2）為決策者提供信息；

（3）有助于認識風險，以便幫助選擇應(yīng)對策略；

（4）識別那些造成風險的主要因素，揭示系統(tǒng)和組織的薄弱環(huán)節(jié)；

（5）有助于明確需要優(yōu)先處理的風險事件；

（6）有助于通過事后調(diào)查來進行事故預(yù)防；

（7）有助于風險應(yīng)對策略的選擇；

（8）滿足監(jiān)管要求。