发布时间:2019-12-27 16:22:59
12月16日到25日,信息技术部对集团及子公司的所有信息系统进行了一次信息安全风险评估。通过对系统的脆弱性、威胁、风险分析,潜伏威胁、防护能力评估等测试评估,摸清了系统存在的问题和漏洞,为后续更有效的防范信息系统风险做好基础工作。
信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。
本次风险评估不仅采用了漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,还使用了目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
通过本次基于多角度、多纬度的全面的信息风险评估,细粒度呈现系统的安全现状,由风险评估形成的风险报告,将作为后期的应急响应制度建设、立体的安全防护体系建设的基础。
信息技术部 牟晓威