01 / Overview
从合规清单到业务对齐的风险评估
风险评估不是填写一张表,而是让管理层在限定预算与时间下,做出最有价值的安全决策。
对齐 ISO/IEC 27005、NIST SP 800-30 / RMF、FAIR 等国际方法论,并根据国内监管要求做本地化适配。
输出物包括资产清单、威胁建模、风险矩阵、量化损失估算、治理路线图与高管决策摘要。
/ 01
多维度方法论
定性 + 半定量 + 量化,按需组合。
/ 02
业务语言对齐
风险表达用业务影响而非技术指标。
/ 03
可被高管使用
同一份评估,工程与高管都能用。
/ 04
与治理路线图衔接
不仅看现在,更指明三年改进路径。
02 / Offerings
面向不同维度的风险评估
从单一系统到企业整体,从供应链到第三方,全维度覆盖。
/ 01
企业级风险评估
面向整个企业的安全风险全景评估。
/ 02
系统级风险评估
聚焦单一关键系统的深度风险评估。
/ 03
供应链风险
识别上下游与第三方组件带来的风险。
/ 04
第三方风险
面向供应商与合作方的安全尽调。
/ 05
新业务安全评估
新业务上线前的事前风险识别。
/ 06
隐私与数据风险
面向 GDPR、个人信息保护法的隐私风险评估。
03 / Methodology
可被复用的风险评估流程
每一次评估的产物都可被后续治理动作直接使用。
范围与方法选择
明确评估范围、深度与方法论。
资产与威胁建模
建立资产清单与威胁场景库。
风险识别与量化
识别风险,量化可能性与影响。
治理建议与路线图
输出可执行的治理建议与时间表。