金融行业信息安全风险评估服务项目择优「多面魔方」

安全评估服务 - 价值

避免业务安全-：技术层面定性的分析系统的安全性，串联系统安全-点，有效验证其存在性及其可利用程度，避免因安全漏洞造成业务损失。

-规划的合理和可行：正确反映各风险对信息安全的不同影响，使规划的结果更合理-，使在 此基础上制定的计划具有现实的可行性。

选择较佳的风险对策组合：风险对策会付出一定代价，需将不同风险对策的适用性与不同风险的后果 结合考虑，使不同风险选择适宜的风险对策，形成佳风险对策组合。

安全评估服务的作用

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全-措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

-风险评估中威胁有哪些分类

1、软、硬件故障

对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题。

2、物理环境影响

对信息系统正常运行造成影响的物理环境问题和自然灾害。

3、无作为或操作失误

应该执行而没有执行相应的操作、或无意执行了错误的操作。

4、管理不-

安全管理无法落实或不-，从而破坏信息系统正常有序运行。

5、-代码

故意在计算机系统上执行-任务的程序代码。

6、越权或-

通过采用一些措施，-自己的权限访问了本来无权访问的资源，或者-自己的权限，做出破坏信息系统的行为。

7、-

利用工具和技术通过网络对信息系统进行攻击和破坏。

8、物理攻击

通过物理的接触造成对软件、硬件、数据的破坏。

9、泄密

-给不应了解的他人。

10、篡改

修改信息、破坏信息的完整性使系统的安全性减低或信息不可用。

11、抵赖

不承认收到的信息和所做的操作和交易。

选择风险评估服务商应该考虑哪几点

3、评估工具

合适的工具，具有效果好、速度快、操作简单的优势，可以-减少安全管理员的手工劳动，有利于保持风险分析算法的统一和风险评估报告的稳定。

4、服务管理

服务管理活动包括两个方面：项目实施过程、项目实施的交付成果。风险评估服务的过程文件和阶段性报告等，均通过严格的文档评审活动来完成把控。项目经理和服务-员定期-项目实施过程的各项任务的执行及其，检查和督促各项评审活动

的执行，及时发现项目工作中的问题，并通过内外部满意度评价来-服务管理活动的闭环。