安全风险评估与审计 (SRAA)

SRAA（安全风险评估与审计）是一个持续的信息安全审计过程，旨在识别和验证安全事件。其目的是全面识别、分析和评估信息基础设施中的潜在安全风险，确定风险等级，并提出缓解或恢复措施。其核心目标是通过持续的风险管理和合规性来增强组织的网络安全防护能力，防止网络威胁。
SRA（安全风险评估）和 SA（安全审计）服务可以独立进行，但安全审计必须在安全风险评估过程之后进行。

政府机构和关键基础设施

金融、医疗、能源、教育等与政府部门相关的行业。

政府资助机构 (IGO/IPO)

涉及新系统部署或重大升级。

任何关注信息安全的组织

私营企业、医疗公司、科技公司等。

合规要求

验证部门或系统的信息安全措施是否符合个人资料私隐专员公署 (PCPD) 的政策和具体标准要求，以降低法律处罚或声誉受损的风险。

风险识别与管理

全面识别部门或系统内潜在的信息安全风险和漏洞。基于专业建议和措施，加强内部信息系统的安全性，确保业务顺利运行。

持续改进

通过定期进行 SRAA，不断发现新风险并及时采取措施加以改善。这种持续改进的机制有助于维持和提升组织的信息安全水平。

安全风险评估 (SRA)

识别威胁和漏洞，评估涉及的风险等级，并确定可接受的风险等级和相应的风险缓解策略。

从风险角度出发，评估范围不一定与安全政策和标准相关。

可由决策机构/部门自行评估或委托独立的第三方进行。

安全审计 (SA)

确定部门信息技术安全政策、标准和其他协议或法律要求所需的安全措施的有效实施情况。

从合规角度出发，评估基于安全政策、标准或其他预定义规则。

必须由独立的第三方进行。

→ 点击下载 SRAA 白皮书