安全風險評估及審計 (SRAA)
科聯的安全風險評估及審計 (SRAA) 服務以獨立及標準為本的方法,全面檢視客戶的網絡、系統及資料保護措施,協助識別保安漏洞、評估合規情況,並制定相應的防護措施,以提升整體資訊保安水平。
為何選擇科聯
- 超過 30 年實證經驗,為政府、企業及受規管機構提供資訊科技解決方案及服務
- 「優質資訊科技專業服務常備承辦協議 5(SOA‑QPS5)」認可服務供應商(甲類:主要承辦商、乙類、丙類:主要承辦商),具備豐富公共服務、關鍵基礎設施及企業項目經驗
- 具備專業認證的資訊保安專業團隊,採用政府認可的資訊科技保安標準及框架,包括 S17、G3 及相關實務指引
- 中立、客觀的獨立評估,提供清晰、以風險導向方式,提供具體的補救建議
常見應用情況
- 應對關鍵基礎設施(CI)的資訊科技保安及合規要求,強化預防性保安控制
- 新系統上線或重大系統變更前的保安評估
- 識別網絡、應用系統及基礎設施的保安漏洞及控制缺口
服務範圍
- 安全風險評估:識別網絡、系統及資料層面的風險、缺失及漏洞,並提出相應的保安改善建議
- 安全審計:評估現行保安政策、標準及控制措施是否符合相關要求,並驗證保安措施是否有效落實
- 按政府指引進行的標準化檢視,包括:《基準資訊科技保安政策》(S17)、《資訊科技保安指引》(G3)、《保安風險評估及審計實務指引》、《滲透測試實務指引》、《資訊保安事故處理實務指引》、《網站及應用系統安全實務指引》等
服務成果
- 清晰掌握主要保安風險、漏洞及控制弱點
- 以政府及機構標準為基礎的獨立評估結果
- 具清晰優先次序、切實可行的保安改善建議
- 為風險管理、審計及管理層決策提供可靠依據