安全评估服务——安全评估流程

主要分为线上评估实施、数据分析整理、风险评估报告撰写三个阶段：

线上评估：本阶段主要完成线上评估工作的实施，即通过资产调查、安全基线扫描、漏洞扫描、人员访谈等方式，了解业务系统的安全现状，为风险分析提供资料。现状评估阶段主要的工作任务包括人员访谈、安全基线扫描、漏洞扫描等。

数据分析：本阶段主要对现场评估阶段采集的数据进行分析、整理，为风险评估报告的撰写提供依据。

报告撰写：本阶段主要完成风险评估报告的撰写、修订。根据数据分析的结果撰写评估报告，并针对业务系统存在的安全风险、安全隐患提供修复建议。与负责人进行沟通，对评估报告进行修订。

输出结果：《安全评估报告》

安全评估服务的服务优势

覆盖全：多方面覆盖设计方案评估、设备入网评估、网站应用评估、智能硬件、第三方APK评估等。

规避风险：验证每一个风险的真实威胁，系统化跟进风险，形成安全闭环，避免业务造成安全风险损失。

高度定制：基于业务实际需求调整评估***，帮助业务了解风险分布，并提供定制化安全解决方案。

多面魔方（北京）技术服务有限公司致力于安全评估服务，欢迎咨询。

网络安全风险评估的依据是什么

风险评估工作主要遵循以下评估依据，并作为评估工作实施的指导文件，部分评估内容将参考或借鉴指导文件内容。

1) 《中华人民共和国网络安全法》

2) 《***网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》（国信办[2006]5 号）

3) 《信息安全技术 信息安全风险评估规范》 （GB/T 20984-2007）

4) 《信息安全技术 信息安全风险评估实施指南》 （GB/T 31509-2015）

5) 《信息安全技术 信息安全事件分类分级指南》 （GB/Z 20986-2007）

6) 《计算机场地通用规范》 （GB/T 2887-2011）

7) 《信息技术 安全技术 信息安全控制实践指南》 （GB/T 22081-2016）

8) 《信息技术 安全技术 信息安全风险管理》 （GB/T 31722-2015）

9) 《信息安全技术 数据库管理系统安全技术要求》 （GB/T 20273-2019）

10) 《信息安全技术 网络基础安全技术要求》 （GB/T 20270-2006）

11) 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2006）

12) 《信息安全技术 网络安全等级保护测评要求》 （GB/T 28448-2019）

13) 《信息技术 安全技术 信息安全管理体系要求》 （ISO/IEC 27001:2013）

14) 《信息技术 安全技术 信息安全风险管理》 （ISO/IEC 27005:2018）

15) 《信息技术安全评估准则》 （ISO/IEC 15408）