安全评估服务——什么是安全评估？

安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的***及其严重程度所进行的分析与评估，并以既定指数、等级或概率值作出定量的表示，然后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的***性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。安全评估又称风险评估、***评估，或称安全评价、风险评价和***评价。

网络安全风险评估流程图

      风险评估工作主要依据GB/T 20984-2015《信息安全技术信息安全风险评估规范》进行，总体的工作流程可以分成资产评估阶段、威胁评估阶段、脆弱性评估阶段、风险综合分析阶段和风险处置计划阶段。对评估范围内的所有资产进行识别，并调查资产***后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

     风险评估的实施流程，如下图所示：

网络安全风险评估的依据是什么

风险评估工作主要遵循以下评估依据，并作为评估工作实施的指导文件，部分评估内容将参考或借鉴指导文件内容。

1) 《中华人民共和国网络安全法》

2) 《***网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》（国信办[2006]5 号）

3) 《信息安全技术 信息安全风险评估规范》 （GB/T 20984-2007）

4) 《信息安全技术 信息安全风险评估实施指南》 （GB/T 31509-2015）

5) 《信息安全技术 信息安全事件分类分级指南》 （GB/Z 20986-2007）

6) 《计算机场地通用规范》 （GB/T 2887-2011）

7) 《信息技术 安全技术 信息安全控制实践指南》 （GB/T 22081-2016）

8) 《信息技术 安全技术 信息安全风险管理》 （GB/T 31722-2015）

9) 《信息安全技术 数据库管理系统安全技术要求》 （GB/T 20273-2019）

10) 《信息安全技术 网络基础安全技术要求》 （GB/T 20270-2006）

11) 《信息安全技术 信息系统通用安全技术要求》 （GB/T 20271-2006）

12) 《信息安全技术 网络安全等级保护测评要求》 （GB/T 28448-2019）

13) 《信息技术 安全技术 信息安全管理体系要求》 （ISO/IEC 27001:2013）

14) 《信息技术 安全技术 信息安全风险管理》 （ISO/IEC 27005:2018）

15) 《信息技术安全评估准则》 （ISO/IEC 15408）

选择风险评估服务商应该考虑哪几点

7、标准化项目管理

风险评估项目团队将与客户保持密切的交流和沟通，以保障实施过程中系统的安全性及稳定性。风险评估的实施和管理以国内实施规范和国内化的项目管理规范为指引，指导整个风险评估项目的实施过程， 确保高水平、高标准、高质量的完成风险评估项目交付，为用户提供更高满意度的服务。