● 认知潜在风险:企业可以确定对特定威胁的暴露程度,发现系统潜在的安全风险。
● 满足政策要求:满足等级保护、ISO27000等合规需求,为全面有效落实安全管理工作提供基础。
● 有效针对预防:通过预测事件发生的可能性、影响范围和危害程度,有效提高预防保护的准确性。
● 明确未来方向:为下一步的信息安全建设指明方向。
风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验发展。安全必须为业务服务,以“最佳实践”(Best Practice)作为信息安全工作的触发点,通过有效的安全服务,让安全技术有效地发挥作用。
管理安全评估:对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估。
基础设施评估:包括对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估、包括对操作系统安全性的全面评估。
应用安全评估:包括对数据库管理系统、WEB服务器、中间件和应用软件的安全性进行全面评估。
渗透性测试:对网络、数据库和应用系统中存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证,识别系统中存在的各种威胁途径,并且提出规避措施。
