评估方法

公司在多年的企业信息安全服务的基础上积累了丰富的经验，目前可根据企业的实际需要为企业提供与信息安全相关的三方面服务内容，包括：业务安全风险评估、业务安全风险管理和业务安全长期保障。

1、业务安全风险评估  就是从业务的连续性、保密性、可用性、完整性、可认证性、不可抵赖性、可追溯性、可控性等方面分析当前管理的信息（如客户交易信息）、信息的载体（如计算机主机、数据库系统等）和信息载体的支撑环境（如网络环境、租赁线路、业务人员、用户等）对业务安全的具体影响情况，从而给出目前影响业务安全的关键点和程度。

其工作流程分为以下9个步骤：描述系统特征、识别威胁、识别脆弱性、分析安全措施、分析可能性、分析影响、确定风险、建议安全防护措施、形成风险评估报告等。

2、业务安全风险管理  就是依据业务安全风险评估的结果提出风险的处理计划（如给出风险的接受、风险的转移、风险的减低、风险的消除等方法和具体措施，按照业务影响的重要程度而提出的风险处理优先顺序等），再依据风险处理计划落实实施、检查、评审与改进。

其工作流程分为以下7个步骤：对行动优先级进行排序、评估所建议的安全选项、实施成本效益分析、选择安全防护措施、人员及责任分配、制定安全防护措施的实现计划、实现所选择的安全防护措施等。

3、业务安全长期保障  就是业务安全托管，即与公司签订长期业务安全服务协议，我们通过日常维护，现场定期检查、评审、改进，远程或现场实时监控等手段进行业务安全保障工作。

[专家资源]公司专家除来自清华大学、中科院等科研机构的信息安全领域的专家外，还包括近年来致力于解决病毒破坏、黑客攻击、系统瘫痪等问题领域的业内专家。同时，公司经过多年的企业信息安全建设实践也锻炼了一支懂业务重管理精技术的服务实施团队。

[1]