Portrait of Smiling IT Specialist Using Tablet Computer in Data Center. Big Server Farm Cloud Comput

安全风险评估和审核 (SRAA)

您的咨询


安全风险评估与审核 (SRA)

SARR 是香港政府定义的术语,包括一套网络安全保证政策、标准和准则。香港政府部门和政府资助机构(非政府组织/非营利组织)必须遵守这些要求。

了解 IT 基础设施的潜在漏洞和威胁

遵守政府资讯科技总监办公室(OGCIO)的要求

加强安全控制,保护敏感信息

公正客观的评估

什么是安全风险评估(SRA)和安全审核(SA)?

安全风险评估(SRA):

SRA 是一个涉及识别、分析和评估安全风险的重要过程。它采用系统化的方法来了解组织 IT 基础设施的潜在漏洞和威胁。我们由经验丰富的专业人员组成的团队会进行全面评估,找出薄弱环节,从而帮助客户加强安全态势和控制措施。

 

安全审核(SA):

安全审核在确保符合 IT 安全政策、标准和要求方面发挥着至关重要的作用。它包括审查安全措施和配置。我们的审核人员会对贵组织的安全控制、政策和程序进行全面分析,以找出差距或需要改进的地方。

SRAA 适合哪些人?

SRAA 适合各种组织,包括

  1. 政府部门:香港特别行政区政府(香港特别行政区政府)各部门必须使用 SRAA 服务,以符合政府资讯科技总监办公室(OGCIO)设定的保安要求。
  2. 政府资助机构(非政府组织/非营利组织):接受政府资助的非政府组织和非营利组织也必须遵守 SRAA 的要求。
  3. 私营机构:优先考虑数据安全并希望评估和降低其 IT 基础架构内安全风险的私营公司和组织。
  4. 医疗保健机构:医院、诊所和其他医疗机构需要保护患者信息并遵守数据保护法规。
  5. 技术公司:从事软件开发、IT 服务和技术驱动型行业的组织。
  6. 任何关注数据安全的组织:在当今的数字化环境中,数据安全是各行各业的组织所关注的问题。SRAA 服务提供了一种积极主动的方法来识别安全风险、加强控制和保护敏感数据。

SRAA 有哪些优势?

  • 增强安全性: SRAA 可帮助企业识别 IT 基础设施中的漏洞、薄弱环节和潜在威胁。通过向管理层提供对当前 IT 安全风险的全面而有条理的概述,企业可以在未来实施安全措施,加强整体安全态势。
  • 合规性: SRAA 可确保企业满足必要的监管要求和标准。这对于政府部门、政府资助机构以及金融和医疗保健等有严格合规规定的行业尤为重要。
  • 降低风险:通过识别和评估潜在的安全风险,SRAA 使组织能够优先处理高风险领域。这种积极主动的方法有助于降低安全事件发生的可能性和影响,最大限度地减少潜在的经济损失、声誉损害和法律后果。
  • 保护敏感信息:SRAA 可识别可能导致未经授权访问、数据泄露或数据泄漏的漏洞。这有助于企业做出保护敏感信息(包括客户数据、知识产权、财务记录和个人信息)的决策。
  • 第三方验证:SRAA 通常由独立的第三方评估员或审核员进行,提供公正客观的评估。这种验证增加了组织安全措施的可信度,并能增强利益相关者、客户和合作伙伴之间的信任。
  • 积极主动的方法:SRAA 采用积极主动的安全方法,在潜在风险被利用之前就将其识别出来。这使企业能够采取预防措施,加强安全控制,并在新出现的威胁面前保持领先。
Business28.png

SRAA 如何工作?

安全风险评估和审核 (SRAA):

规划在确定和选择最有效、最高效的审核或评估方法方面起着至关重要的作用。

审核/评估前应确定以下关键要素:

  • 项目范围和目标
  • 背景资料
  • 制约因素
  • 利益相关者的角色和责任
  • 方式和方法
  • 项目规模和时间表
  • 数据和工具保护考虑因素。

安全风险评估和审核 (SRAA):

目的是了解现有系统和环境。通常要收集以下类型的信息:

  • 安全要求和目标
  • 系统或网络架构和基础设施,包括说明资产配置和互连的网络图
  • 公开信息和网页内容
  • 硬件设备等有形资产
  • 操作系统和网络管理系统等系统
  • 数据库和文件等内容
  • 应用程序和服务器信息
  • 网络详情,如支持的协议和提供的网络服务
  • 访问控制措施
  • 流程,如业务、核算机、网络和应用程序操作流程
  • 识别和认证机制
  • 适用于最低安全控制的法定、监管和合同要求
  • 成文或非正式的政策和指导方针

风险分析(SRA):

这对确定资产价值和评估相关风险至关重要。必须对各个方面进行风险分析,包括但不限于

  • 人力资源安全
  • 资产管理
  • 访问控制
  • 密码学
  • 物理和环境安全
  • 操作安全
  • 通信安全
  • 系统采购、开发和维护
  • 外包安全
  • 业务连续性管理的 IT 安全方面

一般来说,风险分析流程可分为几个子流程,其中包括

  • 资产识别和估价
  • 威胁分析
  • 脆弱性分析
  • 资产/威胁/漏洞映射
  • 影响和可能性评估
  • 风险结果分析
  • 各组织的改进行动

组织的改进

通常情况下,在进行后续安全审核之前,组织会采取行动解决 SRA 中发现的风险。不过,根据组织的需要,也可以不执行 SRA 而执行安全审核。

安全审核 (SA):

经过精心策划和数据收集,安全审核人员可开展以下活动:

  • 在规定的审核范围内对现有的安全策略或标准进行全面审查。
  • 对安全配置进行彻底检查。
  • 使用各种自动化工具进行诊断审查和/或渗透测试,开展技术调查。

审核范围将决定安全审核涉及哪些系统或网络。

安全风险评估和审核 (SRAA):

完成审核/评估后,将提交一份针对上述主题的安全审核报告/评估报告。

 

Banking13.png

SRAA 的费用是多少?

由于每家公司对 SRAA 都有不同的先决条件和具体要求,因此与 SRA 和 SA 相关的分析和报告费用不能作为固定金额提供。请与我们联系,我们很乐意为您提供个性化的解决方案。

我们能为您做什么?

超过 35 年的管理体系和流程(包括信息安全和隐私信息安全部分)认证经验。
来自全球 DQS 网络的行业经验丰富的评估师。

根据特定项目的范围,评估团队将指派具有不同专业 IT 安全资格的专家,如 CISA、CISM、CISSP、CEH、CIPP、ISO 27001 审核员等。

dqs-shutterstock-1461128441.jpg

索取报价

当地联系人

我们很乐意为您提供量身定制的 SRAA 报价。

查询

有任何问题吗?

我们在这里为你服务。
联系我们