風險評估與規劃

Microsoft把有(yǒu)效的安(ān)全措施整合為(wèi)标準，但是高超的應對手法層出不窮。安(ān)全系統存在一個适得其反的壞毛病，無疑會引發重大問題——Rick Maybury

信息系統存在的脆弱性是不可(kě)避免的，經過幾十年的研究，大家發現這是由于人為(wèi)的錯誤所造成的，對于現在我們所使用(yòng)的一個龐大的、複雜的技(jì )術系統來說，恐怕在長(cháng)時間内是不可(kě)避免的。因此，在現實環境中(zhōng)，人們總是要面臨着各種各樣的威脅，或者是信息安(ān)全風險是必然的。在這種情況下，通過适當的、足夠的，有(yǒu)時候是綜合的安(ān)全措施來控制風險，最終目的是使殘餘下來的風險可(kě)以降低到最低程度。任何信息系統都會有(yǒu)安(ān)全風險，所以，人們追求的所謂安(ān)全的信息系統，實際是指信息系統在實施了風險評估并做出風險控制後，仍然存在的殘餘風險可(kě)被接受的信息系統。

服務(wù)介紹：

信息安(ān)全風險評估是一個識别、控制、降低或消除可(kě)能(néng)影響信息系統的安(ān)全風險的過程。海峽信息遵照國(guó)家《信息安(ān)全風險評估規範》（GB/T 20984-2007）及等級保護系列規範，遵循ISO27001以及相關行業規範，從安(ān)全技(jì )術和安(ān)全管理(lǐ)兩個層面入手，全面深入分(fēn)析信息系統存在的脆弱性、威脅和風險，輸出風險評估報告和風險處置建議。并進一步協助用(yòng)戶完成安(ān)全規劃，有(yǒu)步驟有(yǒu)計劃的提升用(yòng)戶的信息安(ān)全保障水平。海峽信息風險評估服務(wù)根據服務(wù)内容不同，可(kě)以分(fēn)解為(wèi)網絡安(ān)全評估、網站安(ān)全評估、應用(yòng)系統安(ān)全評估等多(duō)種類型。

客戶價值：

（1）認識風險及其對目标的潛在影響；

（2）為(wèi)決策者提供信息；

（3）有(yǒu)助于認識風險，以便幫助選擇應對策略；

（4）識别那些造成風險的主要因素，揭示系統和組織的薄弱環節；

（5）有(yǒu)助于明确需要優先處理(lǐ)的風險事件；

（6）有(yǒu)助于通過事後調查來進行事故預防；

（7）有(yǒu)助于風險應對策略的選擇；

（8）滿足監管要求。