1

信息安全风险评估

基于信息系统现状，参照《GB/T 20984-2022信息安全技术信息安全风险评估方法》,从资产、威胁、脆弱性和安全措施等方面进行评估，全面分析系统面临的信息安全风险。
1、在资产识别中，基于业务的范围和边界，分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。
2、在威胁识别中，从威胁的来源、主体、动机等角度出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别和分析。
3、在已有安全措施分析中，将安全措施进行保护性和预防性的分类，结合威胁对已有安全措施的有效性进行分析。
4、在脆弱性识别中，从管理和技术两个角度出发，对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。
5、在风险分析与评价中，依据风险计算模型对单个资产的风险进行风险值的计算与等级划分，并按照一定的规则，从资产的风险现状推断出业务的风险情况。

每系统

4

2

信息安全咨询服务

在提供信息安全咨询服务时，应以现状分析和整体评估内容为依据，制定针对性的技术规划方案，协助推进落地，提升公司整体信息安全能力。咨询服务范围包括但不限于：
1.安全测试/渗透测试技术咨询包含常见工具使用、测试方法论、测试流程、测试管理、漏洞生命周期管理等咨询服务。
2.安全开发、安全编码咨询包含开发安全意识、安全编码、安全设计以及安全运维等咨询服务。
3.SDL体系构建咨询企业SDL构建和实施咨询，包含安全意识、风险建模、源代码审计、源代码控制系统、测试覆盖率、bug追踪、安全测试构建与持续集成以及应用程序漏洞生命周期管理解决方案等内容。
4.最新漏洞详情及修复咨询最新漏洞详情、利用原理、利用代码工具以及修复方法等咨询。
5.常见安全漏洞原理及修复方案咨询包含常见的漏洞原理、技术影响评估、业务影响评估、以及修复方案咨询。
6.应急响应咨询包含应急体系构建、应急响应处理流程、SRC平台的构建与运营、应急演练等咨询服务。
7、安全体系设计如安全管理体系、技防体系、安全专项体系设计，如数据安全、供应链安全。

人天

10

序号

名称

内容

单位

数量

单价（元）

总价（元）

1

信息安全风险评估

基于信息系统现状，参照《GB/T 20984-2022信息安全技术信息安全风险评估方法》,从资产、威胁、脆弱性和安全措施等方面进行评估，全面分析系统面临的信息安全风险。
1、在资产识别中，基于业务的范围和边界，分析对业务资产、 系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。
2、在威胁识别中，从威胁的来源、主体、动机等角度出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别 和分析。
3、在已有安全措施分析中，将安全措施进行保护性和预防性 的分类，结合威胁对已有安全措施的有效性进行分析。
4、在脆弱性识别中，从管理和技术两个角度出发，对脆弱性 被威胁利用的难易程度以及脆弱性被利用后对资产造成的损 失进行分析。
5、在风险分析与评价中，依据风险计算模型对单个资产的风 险进行风险值的计算与等级划分，并按照一定的规则，从资 产的风险现状推断出业务的风险情况。

每系统

4

2

信息安全咨询服务

在提供信息安全咨询服务时，应以现状分析和整体评估内容为依据，制定针对性的技术规划方案，协助推进落地，提升公司整体信息安全能力。咨询服务范围包括但不限于：
1.安全测试/渗透测试技术咨询包含常见工具使用、测试方法论、测试流程、测试管理、漏洞生命周期管理等咨询服务。
2.安全开发、安全编码咨询包含开发安全意识、安全编码、安全设计以及安全运维等咨询服务。
3.SDL体系构建咨询企业SDL构建和实施咨询，包含安全意识、风险建模、源代码审计、源代码控制系统、测试覆盖率、bug追踪、安全测试构建与持续集成以及应用程序漏洞生命周期管理解决方案等内容。
4.最新漏洞详情及修复咨询最新漏洞详情、利用原理、利用代码工具以及修复方法等咨询。
5.常见安全漏洞原理及修复方案咨询包含常见的漏洞原理、技术影响评估、业务影响评估、以及修复方案咨询。
6.应急响应咨询 包含应急体系构建、应急响应处理流程、SRC平台的构建与 运营、应急演练等咨询服务。
7、安全体系设计 如安全管理体系、技防体系、安全专项体系设计，如数据安 全、供应链安全。

天

10