第三期：信息安全风险评估

1、什么是风险评估

• 依据国际或国家标准中明确的风险计算模型，来对所评估对象目前所存在的信息安全风险进行分析的服务过程；

• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段；

• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法；

• 服务过程往往需要依靠专业检测工具来辅助；

2、哪些企业适合申请风险评估

• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织；

• 希望作为中立的第三方，向需求方提供服务的组织；

3、风险评估工具

基于技术的工具：

扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；

入侵检测系统（IDS）：用于收集与统计威胁数据；

渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；

主机安全性审计工具：用于分析主机系统配置的安全性；

信息安全服务资质申请要素之四：公共管理和安全运维专业方向与评估表对标；

4、公共管理和项目要求

（1） 公共管理包含；法律地位、财务资信、办公场所、人员要求、服务管理要求（人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理，体系建设要求），技术工具要求等。

（2） 项目说明：

在信息安全管理体系中涉及到了风险评估的相关概念，在信息安全服务资质也涉及到了风险评估，两者在能力要求和方法论上是一致的。

具备跟踪、验证信息安全漏洞的能力。

三级：至少有一个完成的风险评估项目，该系统的用户数在1，000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。

二级：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10，000以上；具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 息安全漏洞的能力。