什麼是安全風險評估和審計 (SRAA)?

安全風險評估和審計 (SRAA) 協助組織確保遵守香港政府資訊科技總監辦公室 (OGCIO) 等監管機構的指導方針。風險評估過程涉及政府資訊科技總監辦公室建議的步驟,例如識別威脅、估計可能性和影響以及計算風險。這使得組織能夠按照政府資訊科技總監辦公室業務守則的要求優先考慮最重大的風險。然後,相應的安全審計會根據政府資訊科技總監辦公室指南中製定的基準評估是否已採取適當的控制措施。 

What Is SRAA

透過安全風險評估和審計,實現資產可見性

防火牆

路由器

開關

無線存取點

伺服器

工作站

筆記型電腦

行動/物聯網設備

內部應用

第三方軟體

網路應用程式

ERP/CRM系統

SQL 和 noSQL 資料庫

檔案共享和網路驅動器

雲端平台及服務

遠端存取解決方案

網站和網頁介面

開發環境

安全風險評估如何運作?

安全風險評估 識別漏洞並評估相關風險 告知管理層基於風險的安全計劃然後透過控制、策略和分配的職責的安全框架實施適當的保護。對營運和活動的持續監控支援事件處理,同時 確保持續合規定期審查和重新評估透過識別審計中的改進、提供持續回饋來確保控制滿足不斷變化的需求 應對不斷變化的威脅 透過這個週期性的風險管理過程。

安全風險評估工作流程

規劃

確定評估的範圍和目標。此步驟確定將評估哪些系統、數據和基礎設施。

收集資訊

資訊收集涉及收集相關的技術細節和組織背景數據。記錄了系統配置、基礎架構詳細資訊和現有安全控制等內容。

風險分析

它分析人力資源、資產、訪問控制、安全措施、運營、通信、系統和連續性計劃等方面。確定關鍵資產並對其重要性進行評級。然後檢查潛在威脅以及每個域中的漏洞。對資產、威脅和漏洞進行映射,以關聯它們的關係和重疊區域。評估每種風險的潛在影響及其發生的可能性。最後,風險結果分析整合了所有發現,以提供基於優先順序評級的風險狀況的整體視圖。這個系統的過程識別資產,檢查威脅和弱點,評估影響和可能性,並確定風險的優先順序,以全面評估風險。

識別和選擇保障措施

根據風險分析的結果,確定和選擇適當的安全控制和風險處理方案。這些工作有助於加強對組織最嚴重風險的防禦。

監控與實施

所選擇的保障措施將經過監測和實施。控制措施被部署,集成到運營中,並持續監控其有效性。此外,還驗證是否符合安全標準。

需要安全風險評估和審計方面的協助?

Please enable JavaScript in your browser to complete this form.
我想查詢