什麼是保安風險評估及審計 (SRAA) 服務?
保安風險評估及審計 (SRAA) 是一套重要的網絡安全評估程序,旨在識別、分析和評估組織資訊科技基礎設施中的潛在安全風險,並確保其符合相關的安全政策、標準和準則 。
保安風險評估及審計 (SRAA) 是一套重要的網絡安全評估程序,旨在識別、分析和評估組織資訊科技基礎設施中的潛在安全風險,並確保其符合相關的安全政策、標準和準則。在香港,SRAA 特別適用於政府部門和接受政府資助的非政府組織/非營利組織,他們必須定期進行 SRAA 以符合政府資訊科技總監辦公室 (OGCIO) 的要求,但其應用範圍也擴展至任何重視數據安全並希望評估和降低安全風險的私營機構。 SRAA 的兩個核心組成部分:
SRA 的核心目標是識別和評估潛在的安全風險。這是一個系統化的過程,涉及分析組織的技術和流程,以找出可能被利用的漏洞和弱點。SRA 通常包括:
SA 的重點是確保組織遵守相關的安全政策、標準和規範,例如 OGCIO 的指引、ISO 27001 等。這是一個審查和驗證的過程,旨在評估組織現有的安全控制措施是否有效,以及是否符合既定的安全要求。SA 會檢查:
雖然香港政府部門和接受政府資助的機構必須進行 SRAA,但任何重視數據安全的機構都可以從 SRAA 中受益,包括:
保安風險評估及審計 (SRAA) 是一套重要的網絡安全評估程序,旨在識別、分析和評估組織資訊科技基礎設施中的潛在安全風險,並確保其符合相關的安全政策、標準和準則 。
在香港,SRAA 特別適用於政府部門和接受政府資助的非政府組織/非營利組織,他們必須定期進行 SRAA 以符合政府資訊科技總監辦公室 (OGCIO) 的要求。但其應用範圍也擴展至任何重視數據安全並希望評估和降低安全風險的私營機構 。
SRAA 的兩個核心組成部分為:(1) 保安風險評估 (SRA):識別和評估潛在的安全風險,包括弱點掃描、滲透測試、漏洞分析、資產識別、威脅建模;(2) 安全審計 (SA):確保組織遵守相關的安全政策、標準和規範(如 OGCIO 指引、ISO 27001),檢查安全配置、政策和程序、標準和規範 。
保安風險評估 (SRA) 包括:弱點掃描(使用自動化工具掃描系統,找出已知的漏洞)、滲透測試(模擬真實世界的攻擊,以測試系統的防禦能力)、漏洞分析(深入研究已識別的漏洞,評估其潛在影響和被利用的可能性)、資產識別(釐清需要保護的重要資訊資產)、威脅建模(分析潛在的威脅來源和攻擊方式)。
安全審計 (SA) 檢查:安全配置(檢查系統和設備的安全設定是否正確)、政策和程序(審查組織的安全政策和程序是否完善,以及是否得到有效執行)、標準和規範(驗證組織是否符合相關的安全標準和規範,如 OGCIO 的指引、ISO 27001 等)。
SRAA 實施流程包括:初步諮詢和需求分析(了解客戶安全需求、目標和關注點)、規劃和準備(制定詳細 SRAA 計劃)、安全風險評估 (SRA)(執行 SRA,識別和評估潛在風險)、安全審計 (SA)(執行 SA,驗證安全控制措施的有效性)、報告和建議(編寫綜合報告,說明結果、風險、漏洞、不合規之處及改進建議)、後續跟進(可選,協助實施改進建議,提供持續安全諮詢和支援)。
SRAA 是一個持續的過程,需要定期進行以應對不斷變化的安全威脅和新的漏洞。組織應該將 SRAA 納入其整體安全管理體系,並定期審查和更新其安全政策和程序。保安風險評估是一開始時便要進行的初步評估,審計則是周期性的遵行情況覆檢和再三評估,確保保安措施被正確執行 。
SRAA 透過辨識公司或機構內的有形和無形資產,發掘和分析業務單位的潛在網絡保安危機,並將風險分析結果以報表形式呈現,提供相關解決方案。進行全面評估以找出弱點,幫助客戶加強其安全態勢和控制措施,確保採取適當的風險處理措施,將風險降低到可接受的水平 。