根据《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南》、《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》、《GB/T36466-2018 信息安全技术 工业控制系统风险评估实施指南》等相关标准对一个独立的工业控制系统开展风险评估工作,根据资产、威胁、脆弱性及已有防护措施出具风险评估报告及安全解决方案。
1.资产评估
确认目标系统,并进行资产识别;
2.资产威胁评估
资产威胁统计、威胁赋值与计算;
3.资产脆弱性评估
资产脆弱性统计、脆弱性赋值与计算;
4.现有安全措施评估
现有安全防护进行识别并记录,包含技术与管理方面;
5.管理评估
主要包括人员组织安全管理、安全规章制度、安全策略方针;
6.安全风险综合分析
各资产计算得出最终风险值,对面临的各种风险进行等级划分和综合评判,以确定组织或系统面临的各种风险等级;
7.安全整改建议
根据评估中发现问题及风险计算,对被评估单位安全防护提出整套整改建议。
1.《风险评估方案》;
2.《资产调研报告》;
3.《安全策略分析报告》;
4.《管理制度核查报告》;
5.《威胁分析报告》;
6.《脆弱性分析报告》;
7.《风险评估报告》;
8.《工控安全解决方案》。
1.切实了解自身工控系统的安全状况;
2.通过资产识别、脆弱性分析、威胁分析、安全措施有效性分析和管理制度核查分析,让用户知悉各项资产所面临的真实安全风险;
3.提供工控安全解决方案,指导后续安全防护体系建设。
1.直观的风险评估报告;
2.国家工控漏洞库资源支撑单位,熟悉工控系统漏洞分布;
3.深度挖掘行业特性,提出贴近企业业务、符合行业特性、易落地的工控安全解决方案。
微信二维码