中国,北京 – 2018年9月,atsec正式获得中国网络安全审查技术与认证中心(简称CCRC:China Cybersecurity Review Technology and Certification Center)颁发的信息安全风险评估服务资质证书。
atsec作为中立的信息安全咨询和评估服务机构,积极参与国际和中国国内信息安全领域的服务工作。风险评估服务资质的申请与获得可以更好的展现atsec在信息安全领域提供服务的能力。atsec在申请风险评估服务资质过程中积极配合审核组,从atsec的基本资格、服务管理能力、服务技术能力和服务过程四个方面全面且据实的呈现了企业和团队的能力。同时,atsec基于近20年来在信息安全领域的不断积累,展现了团队成员专业的技术知识以及风险评估实施的丰富经验。
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。
诸多的国内或者国际标准中均提出了针对机构定期开展风险评估的要求,包括但不限于支付卡产业数据安全标准(PCI DSS)、ISO/IEC 27001等。
atsec风险评估服务
atsec拥有自主研发的完整的风险评估方法论,采用定量和定性的评估方式面向信息资产进行梳理和评估打分。atsec自主研发的风险评估工具,可以通过工具和人工结合的方式分析识别可能发生的安全事件,提供相应的风险处理计划及整改措施,帮助机构有效的将所有的风险降到可接受水平。
针对风险评估的范围,atsec将开展详细的风险分析(RA:Risks Analysis),包括业务影响分析(BIA:Business Impact Analysis)。风险分析的结果是风险评定的清单,并随后体现在风险图形化(又称风险轮廓)展示中。
atsec拥有丰富的PCI DSS数据安全标准合规建设以及ISO/IEC 27001信息安全管理体系建立与实施的经验,而风险评估工作也是在诸多信息安全标准中必要的执行工作内容。atsec希望可以结合产业最佳实践,协助各行业机构清晰并有效的梳理业务流程,并据此开展结合不同行业业务流程有针对性地进行风险评估服务,更多信息欢迎与atsec交流探讨!
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。