業(yè)務風險評估服務

通過業(yè)務風險評估，可以清楚地了解本單位的相關業(yè)務面臨的安全風險，進而快速地調整信息安全策略進行抵御威脅。保證本單位應用系統(tǒng)的安全、穩(wěn)定地運行。

評估流程：

在簽訂服務合同后，為保障客戶的利益，聯旭科技將同時和客戶簽訂相應的保密協議。確定雙方的權利和責任后，將按照下圖所示流程進行業(yè)務風險評估實施。

業(yè)務風險評估的內容：

1、業(yè)務識別

對客戶特定范圍的業(yè)務進行風險評估，首先識別組織的業(yè)務類型。其次針對已識別的業(yè)務，再根據行業(yè)標準、規(guī)范和合規(guī)、以及本單位的規(guī)定，進行業(yè)務功能識別與分析和業(yè)務流程梳理及分析，如下：

2、組織識別

在IT管理當中，經常說，“三分技術，七分管理”，同時，在信息安全管理當中，安全管理工作是非常重要的一項活動。因此，在業(yè)務風險評估中，組織識別是首先需要對組織機構進行分析的首要調研工作，需要識別組織中對信息安全管理工作都有哪些組織在支撐與運營，調研清楚了組織都有哪些單元，接下來就是對組織架構進行識別與分析和組織職能識別與分析。

• 組織架構識別與分析：調研清楚組織中有何種的組織架構，如IT部門、業(yè)務部門、技術支持部門、審計部門等。

• 組織職能識別與分析：調研清楚這些組織架構中都有哪些職能？有哪些角色等。

3、信息系統(tǒng)識別

將業(yè)務風險評估所涉及的信息系統(tǒng)及相關的資產進行恰當的分類，以此劃分的資產的基礎進行下一步的威脅識別、脆弱性識別等一系列風險評估工作。

4、已有安全措施確認

在進行業(yè)務風險評估的時候，將對已采取的安全措施的有效性進行確認，包括 ：安全策略、安全組織、安全運作流程、網絡及網絡設備等。并對其中有效的安全措施繼續(xù)保持，以避免在后期進行風險整改的時候，浪費不必要的時間和成本，防止安全措施的重復實施。對于確認為不適當的安全措施應核實應進行記錄與分析，或者提出更合適的安全措施替代。

5、風險評估總結

聯旭科技在業(yè)務風險評估的整個過程，從業(yè)務識別、組織識別、信息系統(tǒng)識別、風險分析與計算、風險結果判定、風險處置、風險匯總及安全整改建議；殘余風險的二次評估等的整個風險評估的過程中，輸出大量的風險評估的記錄文檔，以及風險問題的輸出，我們都采取標準化與嚴格的文檔控制與分析的結果風險，嚴格按照業(yè)務系統(tǒng)的數據流轉情況，提出合理的風險整改建議。

常用技術手段：

聯旭科技在進行風險評估過程中比較常采用的技術手段包括：基線核查、漏洞掃描、安全管理核查、滲透測試等。

業(yè)務風險評估的好處：

• 將業(yè)務融于風險管理

組織真正的風險實際是業(yè)務流轉過程中所形成的。首先討論業(yè)務構成風險是完成組織風險管控的重要前提。

• 立體化的風險展現

通過業(yè)務風險評估，管理層可以清楚知道本單位有多少業(yè)務和業(yè)務流程，并且清楚各個業(yè)務流程都存在哪些安全風險。

• 全面分析業(yè)務內、外在風險

通過業(yè)務風險評估，管理層可以全面地風險是存在于技術中還是應納入管理梳理的范圍，避免簡單地將風險全部歸于技術可解決的范疇所帶來的重復投入。

您的收益：

當組織進行信息系統(tǒng)風險評估后，將能為組織提高IT管理水平，全面信息安全風險，同時良好的安全形象還可以促進業(yè)務的發(fā)展，帶來良好的經濟和社會效益。主要體現在以下幾個方面：

• 可全面和有條理地向管理層反映現有的業(yè)務存在的安全風險和所需的安全保障措施；

• 以合理客觀的方式制訂業(yè)務信息安全風險控制的開支和成本預算；

• 為決策和政策考慮提供不同的解決方案，使信息安全管理能夠從策略性的層面推行；

• 為日后比較信息安全措施的變化提供依據；

• 對組織的關鍵業(yè)務風險進行全面梳理，識別業(yè)務的重要性；

• 清晰自身所面臨的威脅及其威脅方式方法，便于有針對性地防護；

• 認識自身存在的脆弱性（不足），能夠有目的性的進行補遺整改工作

• 對組織的安全管理有清晰的認識，能夠有意識的加強管理建設；

• 明確自身整體安全狀態(tài)，制定整體安全規(guī)劃，逐步完善防護能力、檢測能力、響應能力、恢復能力，實現整體安全。