什麼是保安風險評估及審計 (SRAA)?
保安風險評估及審計 (SRAA) help organizations ensure compliance with guidelines from regulators like the Hong Kong Office of the Government Chief Information Officer (DPO). The risk assessment process involves steps recommended by the DPO, such as identifying threats, estimating likelihood and impacts, and calculating risks. This allows organizations to prioritize the most significant risks as required in the DPO’s code of practice. Corresponding security audits then evaluate that appropriate controls are in place according to baselines established in DPO guidelines.
透過保安風險評估及審計,實現資產可見性
防火牆
路由器
開關
無線存取點
伺服器
工作站
筆記型電腦
行動/物聯網設備
內部應用
第三方軟體
網路應用程式
ERP/CRM系統
SQL 和 noSQL 資料庫
檔案共享和網路驅動器
雲端平台及服務
遠端存取解決方案
網站和網頁介面
開發環境
保安風險評估如何運作?
安全風險評估 識別漏洞並評估相關風險 告知管理層基於風險的安全計劃然後透過控制、策略和分配的職責的安全框架實施適當的保護。對營運和活動的持續監控支援事件處理,同時 確保持續合規定期審查和重新評估透過識別審計中的改進、提供持續回饋來確保控制滿足不斷變化的需求 應對不斷變化的威脅 透過這個週期性的風險管理過程。
保安風險評估工作流程
確定評估的範圍和目標。此步驟確定將評估哪些系統、數據和基礎設施。
資訊收集涉及收集相關的技術細節和組織背景數據。記錄了系統配置、基礎架構詳細資訊和現有安全控制等內容。
它分析人力資源、資產、訪問控制、安全措施、運營、通信、系統和連續性計劃等方面。確定關鍵資產並對其重要性進行評級。然後檢查潛在威脅以及每個域中的漏洞。對資產、威脅和漏洞進行映射,以關聯它們的關係和重疊區域。評估每種風險的潛在影響及其發生的可能性。最後,風險結果分析整合了所有發現,以提供基於優先順序評級的風險狀況的整體視圖。這個系統的過程識別資產,檢查威脅和弱點,評估影響和可能性,並確定風險的優先順序,以全面評估風險。
根據風險分析的結果,確定和選擇適當的安全控制和風險處理方案。這些工作有助於加強對組織最嚴重風險的防禦。
所選擇的保障措施將經過監測和實施。控制措施被部署,集成到運營中,並持續監控其有效性。此外,還驗證是否符合安全標準。
我們的資質
