安全评估服务——安全评估流程

主要分为线上评估实施、数据分析整理、风险评估报告撰写三个阶段：

线上评估：本阶段主要完成线上评估工作的实施，即通过资产调查、安全基线扫描、漏洞扫描、人员访谈等方式，了解业务系统的安全现状，为风险分析提供资料。现状评估阶段主要的工作任务包括人员访谈、安全基线扫描、漏洞扫描等。

数据分析：本阶段主要对现场评估阶段采集的数据进行分析、整理，为风险评估报告的撰写提供依据。

报告撰写：本阶段主要完成风险评估报告的撰写、修订。根据数据分析的结果撰写评估报告，并针对业务系统存在的安全风险、安全隐患提供修复建议。与负责人进行沟通，对评估报告进行修订。

输出结果：《安全评估报告》

安全评估服务概述

企业对资产进行多面、细致的梳理，多面掌握现有资产情况是保护企业资产免受安全威胁的重要手段，通过安全评估服务，对企业资产进行多方位盘点，是企业信息安全合规化的基础。安全评估服务同时提供脆弱性评估，可以以资产为核心，对每一项需要保护的资产可能被利用的风险点的严重程度进行评估。从物理、网络、系统至应用层面进行研判。同时，对于企业已经采购的安全产品有效性进行确认，对有效的安全措施予以保持，同时避免安全资源浪费和重复使用，节约企业安全成本，提高企业安全整体素质。

怎么开展风险评估

自评估

是由被评估信息系统的拥有者发起，依靠自身的力量参照******与标准，对其自身的信息系统进行的风险评估活动。

检查评估

检查评估则通常是被评估信息系统的拥有者的上级主管***或业务主管***发起的，旨在依据已经颁布的***或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。

委托评估

是由被评估信息系统的拥有者发起，委托安全服务机构，参照******与标准，对其维护的信息系统进行的风险评估活动。

什么是定性分析方法

      定性分析方法是目前采用的主流的一种风险评估方法，它带有较强主观性，需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、现有安全防护的效力等）的大小或者高低程序定性分级，例如“极高”，“高”，“中”，”低“，”极低“五极。

      定性分析的操作方法可以多种多样，包含头脑风暴、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。