风险评估

应用系统部署到甲方或最终客户的网络环境中时，甲方或最终客户要求软件开发商对系统进行第三方入网前的安全评估并出具入网安全评估报告。 以确保应用系统部署到甲方或最终客户网络环境中不存在中、高危风险漏洞保证其系统的运行不对现有网络造成安全威胁。 简单来说就是在信息系统在接入互联网之前进行网络安全风险评估， 提前确定系统的网络安全漏洞情况， 是否存在高中威胁，是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。

一、服务内容

服务内容包括资产识别、脆弱性识别、威胁性评估、风险分析、安全加固和建设建议等。

二、服务目标

• 确定可能对信息系统造成危害的威胁
• 通过历史资料和专家的经验确定威胁实施的可能性
• 对可能受到威胁影响的信息资产确定其价值、敏感性和严重性
• 对各类信息资产，确定一旦威胁发生其潜在的损失或破坏

三、服务方式

1、安全顾问访谈

安全访谈是结合问卷调查和文件分析的最主要的信息安全管理评估方式，通过对用户相关领导、骨干技术人员的访谈， 可以对用户绝大部分的安全管理实现细节进行了解，并对上述的管理问卷调查结果和体系文件进行分析确认。

2、问卷调查

问卷调查是针对特定环境下进行的一种信息安全风险评估数据的收集方式，针对用户现有的安全状态调研和安全措施发布问卷， 通过问卷调查和人员访谈后收集到相关信息后，可以初步分析安全能力建设的能力，结合其它服务方式来确定信息安全风险评估的结果。

3、工具扫描

使用漏洞扫描工具，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定， 能够快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁，并给关于安全隐患的详细信息。

4、人工审核

使用漏洞扫描工具，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定， 能够快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁，并给关于安全隐患的详细信息。

5、安全基线核查

6、渗透测试

......

四、服务流程

1、准备阶段

开展评估前，需要开展调研确定评估的边界范围，后续所有工作均在此范围内进行；
建立评估工作的人员小组架构及明确相关工作小组的工作职责，确定每个阶段性工作的参与人员及阶段性任务完成后需提交的资料；
确定评估工具及方式并制定工作方案计划，交由用户审批；
参与评估工作的第三方人员要签署保密协议、入网申请等工作责任书，确保工作流程合理合规，确保用户有依有据；

2、实施阶段

资产识别
脆弱性威胁评估
潜伏威胁评估
防御能力评估

3、汇总阶段

结果交付和汇报:对信息安全风险评估的全部服务内容的结果进行汇总编制安全风险评估报告，以简洁明了的输出物交付给用户， 并组织总结会议对安全风险评估整体工作流程及结果内容进行总结，向用户阐述各风险、潜伏威胁可能造成的后果， 最后审议本次安全风险评估工作的评估报告。

五、服务项目管理

1、组织管理

为了保证项目的顺利实施，确保达到预期的目标，必须建立分工明确，职责清楚，层次分明同时又能协调配合的项目管理组织。

2、进度管理

通过制定项目整体工作计划、双周工作计划并落实持续有效的进度监控机制，及时掌握项目进度状态及趋势，发现重大进度问题，为项目决策和协调提供支持。

3、风险管理

通过有效的风险管理机制和方法，对那些尚未发生、但可能对项目实施产生负面效果的、不可控的项目活动或环境进行识别、分析、量化、管理，尽可能降低风险发生的机率以及发生后可能产生的影响。