简介

安全审查措施是控制是一种评定您现有的安全状况。安全审查是基于公司安全政策或是基于一个行业标准，例如 ISO27001 (BS7799)。我们的审核方法将遵循 ISO27001 (BS7799) 标准，除非客户有特殊要求。如果客户希望审核是根据他们自己的公司安全政策，那么公司安全政策本身就成为了审核的对象。我们的安全审核措施的目的是确保安全措施是用于企业的商业能动上，同时安全措施的初衷是要和所有的商业目标相一致。

方法

一旦审查的范围确定下来，我们会向客户提供一个细致的审核计划。这个审核计划包括了 IT 框架和流程的不同需要被审核的方面和具体参加审查的审查者的姓名，接受这些相关审 核 的人的姓名，以及审 核 需要的时间。这就帮助了企业确认适用的资源可以用于我们的调查和提供个给我们一个对系统进行了解的机会。

审查将以对其范围内 IT 框架和流程所支持的重要活动进行研究和分析开始。这一步帮助我们认清哪些商业上的步骤需要被保护以继续向客户，消费者，股东，合作者，雇员以及其他股票持有者提供服务。一旦重要的活动被指明，风险评估将继续。风险评估的几个重要步骤如下 :

测定信息资产
公司可能从事不同的信息资产，这些将包括 IT 基建 ，人，印刷文件等等。这一步将测定那些信息资产的机密性 , 完整性和可使用性。

测定资产价值
为了将我们的风险评估进行分类，有必要对这些资产的价值进行估计。资产的价值是根据如果这些资产有秘密性，完整性和可用性方面的损失的话，它对公司造成的影响来进行估计。在上面这三个重要因素中，同时我们需要明确哪个因素会造成对公司最大的影响。

确定系统的脆弱性
系统内部的脆弱性是由于设计的缺陷或者是执行的错误所导致的固有的问题。如果有由于设计的缺陷所造成的安全问题，我们需要考虑两种观点：

•  引进一种工作区的配置以保护这些脆弱性的发生

•  引进其他的一些控制手段来减少脆弱性造成的影响

如果脆弱性是由于可能在使用时操作的错误所造成的，我们可以保证安全处理文档都将这些记录下来。这就保证了管理者可以使系统进行重新配置以减少这种脆弱性。

确定对系统造成的危险
有些事件会造成一些脆弱性来引起秘密性，完整性和可用性(CIA)的损失。危险被通常分为自然的和人为的。一些例子比如：黑客攻击企业，资源的损失造成企业无法运作，错误的输入数据造成系统的不正常工作，等等。可能有一些控制是用来解决这些威胁的。当估计这些威胁和造成的影响的时候，我们会将已经用于解决这些威胁的控制纳入进来，比如，如果有足够的输入验证手段，错误输入数据的影响就会大大降低。审查会假设当 OSP( 公司安全政策 ) 文件有流失而说明这方面的自动控制没有执行的时候，OSP( 公司安全政策 ) 也是一个威胁。因此，审查机制应保证 OSP( 公司安全政策 ) 是综合的，有效的，和对违反有一定惩罚。不是所有的威胁都会被考虑。比如，飓风造成的危险就可能被忽略。

确定威胁造成的影响
威胁造成的影响直接和资产的价值关联起来。他是根据当资产的破坏最终造成秘密性，完整性和可用性(CIA)中的一个或者是他们的结合的损失的时候，对企业能够造成的损失。

确定这些威胁带来的危险
脆弱性，影响和威胁的概率一起造成了对企业的风险。我们接着会根绝风险将这些进行排列。风险同样也可能来自于对于法律或者习惯要求的不一致，这些也将同样被考虑进去。

确定风险对待计划
企业可能从下面的四种选择中决定怎样对待风险 :

•  转移风险 , 比如保险

•  接受风险 , 比如在公司允许的风险范围以内接受风险

•  减少风险 , 比如通过实施一些安全的控制

•  避免风险 , 比如彻底消除威胁和脆弱性

风险对待计划必须明确的指明企业接受的保证度。对于需要被减弱或者被转移的风险，计划必须明确指明执行管理认可的行为的责任，以及这些措施执行的时间 。

交付

安全审核将报告将包括以下内容 :

• 风险评估矩阵 --- 资产
• 处理风险方案 --- 担保等级、行动计划、责任、时限和审查日程

为什么选择钛极？

一个有经验的团队 CISA,CISSP 和 ISO27001 (BS7799) 审计师将确保公司享受级别的安全保证以及相关的安全措施都以最低的消耗和实际的方式执行。全部的措施将与 ISO27001(BS7799) 相一致。