风险评估服务

1.服务概述
        安全风险评估咨询服务根据GB/T18336《信息技术安全性评估通用准则》、GB/T20984-2007《信息安全技术 信息安全风险评估规范》等国家标准及相关技术规范进行安全评估。基于多角度、多纬度的全面评估，细粒度呈现系统的安全现状，由风险评估形成的风险导图，将作为后期的应急响应制度建设、立体的安全防护体系建设的基础。具体内容包括用户信息系统安全现状，对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性评估，最终提供全面的风险评估报告。

2.客户利益
——充分了解安全现状
通过访谈、问卷、漏洞扫描、渗透测试等多种手段，全面协助客户发现系统的安全风险，帮助客户彻底摸清安全现状。

——辅助管理层决策
通过对客户信息系统的安全现状进行评估，可以使客户信息系统的相关管理者从组织战略及业务的高度，增强信息安全意识，提高安全防范水平，制定安全整改计划，消除安全隐患。

——满足合规检查
针对客户安全需求，提供专业高效的安全评估服务，提前发现潜在漏洞，及时处置安全问题，规避监管部门的安全通报，从容应对监管要求的合规性检查。

——提高信息安全性
通过加强客户的整体信息风险预防水平，提高信息系统的风险抵抗能力，帮助组织减少信息安全事件发生的机率。

3.服务内容

——方案编制
(1)配合人员
(2)确定检查方式
(3)制定风险应对计划
(4)确定评估时间
(5)确定接入点位置和方式
(6)制定评估计划

——实施评估
(1)资产识别
(2)风险识别
(3)脆弱性识别
(4)风险计算并输出风险结果
(5)安全措施方案建议
(6)协助客户完成风险管理