政府及公營機構
支援政府項目、資助項目及公營系統的安全風險評估要求。
任何處理敏感資料、個人資料、支付資料、政府項目資料或關鍵業務系統的機構,都應定期進行 SRAA。
支援政府項目、資助項目及公營系統的安全風險評估要求。
協助有限資源機構建立清晰風險視圖及改善優先次序。
配合合規、內部審計及第三方風險管理需要。
確認系統、網絡、應用程式、資料流程及第三方依賴。
按威脅、弱點、影響及可能性評估風險水平。
審查政策、程序、存取控制、日誌、備份及事件應變安排。
識別基建、應用程式及配置中的安全弱點。
檢視資訊安全政策、帳戶管理、變更管理及供應商控制。
提供按風險排序的改善建議、責任分配及跟進方向。
確認業務背景、系統範圍、合規要求及時間表。
進行風險評估、技術測試及控制審查。
提交報告、風險分級及改善建議。
支援修復優先次序及複檢安排。
Penetration Testing 可作為 SRAA 的技術測試部分,用於驗證攻擊者是否能利用系統弱點。PIA / PDPO 私隱影響評估 則聚焦個人資料處理風險,適合與 SRAA 一併規劃。
SRAA,即 Security Risk Assessment and Audit,中文可稱為保安風險評估及審計。它不是單一漏洞掃描,而是一套結合風險評估、技術審查、控制驗證及管理層報告的資訊安全評估工作。
對香港政府部門、政府資助機構及受監管企業而言,SRAA 可協助確認系統是否有足夠的安全控制、現有風險是否已被識別,以及改善措施是否清晰可追蹤。
不是。Pentest 通常是 SRAA 的其中一項技術評估活動,但 SRAA 亦包括風險、控制、政策及管理層報告。
視乎系統範圍、資產數量及測試深度,一般可由數星期至數個月不等。初步諮詢後可提供估算。
全面掃描和分析您的 IT 基礎設施,識別安全漏洞並提供修復建議。
評估您的組織是否符合相關法規和行業標準,確保合規性。
全面檢視和改進您的安全政策與程序,確保最佳實踐。