您现在的位置: 首页 > 安全服务 > 信息资产风险管理系统

如何衡量信息系统的安全风险?风险如何量化?安全措施的投入成效如何?如何衡量?信息系统之中的每一个信息资产以及总体的风险趋势又是什么样的?

这些问题是每一个信息主管每天都在考虑的问题。本产品就是为了解决这些问题而设计的。

安全风险就是一种特定的威胁利用一个或一组资产的脆弱性而造成资产损失或危害资产的可能性。风险评估是识别安全风险,确定他们的影响并识别需要进行安全防护的区域的过程。它是制订安全策略、安全规范和确定安全需求的基础,可以帮助实现更为精确的安全方案,在安全方案花费和安全提升带来的资产获益之间取得平衡。

在目前信息安全评估领域中,如何来进行信息安全风险的量化已经成为最为主要的技术讨论核心,一个成熟的风险评估模型的风险量化过程应具备实际的适用性和可操作性。风险的量化是一件非常复杂的工作,风险的来源、表现形式、造成的后果、出现的概率千差万别,需要非常精细的考虑和合理的数学模型。

一般来说,一个资产可能有多个系统或组件构成,每个系统组件存在各种各样的多个风险,每个风险具有多个不同的属性值(例如威胁的可能性以及脆弱性等),这些属性值可能存在复杂的依赖关系,可能与时间有关,可能与资产的配置环境密切相关(例如安全控制、策略和实际的运行情况等)。所以,将所有这些因素综合考虑在一起,科学地反映资产当前面临的实际风险是一件非常复杂的工作。

冠群金辰公司参照ISO 17799、ISO 13335、ISO 15408以及SSE-CMM等诸多国际信息安全管理、技术以及工程标准,结合风险管理理论以及多年从事风险评估领域的经验积累,提出一套完整的风险量化过程,奠定了冠群金辰公司风险管理的方法论。以此方法论为基础我们设计了该软件,并对我们安全服务项目进行标准化,同时对用户提供开放式的售后支持和数据分析平台和安全服务项目跟踪。

适用范围

√ 需要了解当前资产潜在风险的用户
√ 需要了解当前安全建设投入后实际效果的用户
√ 需要了解信息安全对业务系统影响程度的用户
√ 需要跟踪信息安全延续性建设并获取后续建设参考依据的用户
√ 需要了解当前资产实际脆弱性的用户
√ 需要了解当前信息资产价值优先级的用户

工作原理

信息安全风险管理系统(Information Asset Risk Manger,简称IARM)主要是通过人工和工具两种方式对安全评估项目的信息库数据的维护,同时在评估过程中自动产生相关人工评估表单和问卷,对风险评估过程进行标准化,并将结果导入后台信息库,然后用户可使用WEB浏览器通过网络对信息库进行访问和各种数据查询分析,输出或打印需要的相关报告,了解相应的信息系统的风险评估结果。

功能说明

该软件能详细的跟踪风险评估的各个阶段,并能有效的保留评估原始数据,根据冠群金辰信息安全风险管理方法论提取风险的各种要素,并考虑他们之间的影响程度科学的计算出每一个资产的风险值。用户可以定制报表的查看任何一个资产的风险值,如果经过多次风险要素采样以后还能直观的了解到整个资产的风险趋势图,同样用户能够更直接的获知当前资产(系统)存在的一些安全隐患,并详细的了解到如何来防范这些隐患从而降低风险。

√ 记录风险评估工程过程
√ 评估系统信息资产的维护
√ 安全评估项目的维护
√ 人工评估列表的自动生成
√ 工具评估结果的自动导入
√ 各种调查问卷的评估结果自动生成
√ 风险评估各要素的排序、查询、检索的定制报表功能
√ 远程升级能力
√ 最新安全信息的分发