甚么是 SRAA?
SRAA(保安风险评估及审计)是香港对政府部门及政府资助机构的保安评估与审计要求,须由独立第三方按指引完成评估并提交核证报告,一般通过安全风险评估(SRA)与安全审计(SA)落实。
保安风险评估及审计 (SRAA)
专门为香港政府机构和非营利组织进行网络安全评估
所有政府部门和政府资助的组织(非政府组织/非营利组织)都必须定期进行保安风险评估及审计评价。
- 香港特别行政区政府部门及有关机构
- 非政府组织/非营利组织
风险评估速览
SRAA(保安风险评估及审计)要求政府部门及政府资助机构提交独立核证的保安评估报告。UD 以第三方审核机构身份,依据 OGCIO《IT 政策及指引》提供网络安全风险评估(SRA)与安全审计(SA),涵盖界定范围、弱点扫描与人手测试、报告与跟进,以及复测已发现漏洞,帮助机构符合规定并改善安全状况。
甚么是安全风险评估(SRA)?
SRA是一份用作识别出你公司技术及流程潜在风险的评估报告。我们会验证你的监控措施是否到位,以防范电脑安全威胁。
甚么是安全审计(SA)?
SA是对公司的系统中与电脑安全有关的活动进行全面审查,包括检查系统是否有足够的管制,及符合电脑安全政策的标准和要求,进而针对性提出相关的安全建议。
服务内容
我们基于OGCIO IT政策及指引,以第三方身份提供网络安全风险评估(SRA)和安全审计(SA)服务,以满足对SRAA的要求。
立即查询
(852) 2554 7545
联络我们的网络安全专家
安全风险评估(SRA)
基本自动化的「弱点扫描」配合专业技术员人手测试,谨慎高效,漏洞无所遁形,而且测试期间毫不影响日常运作。
第1步: 与客户会面确认测试内容
- 识别你机构所拥用的关键技术资产和处理敏感性数据的设备,了解创建、储存及传送数据的相关流程。
第2步: 情报搜集及弱点扫描
- 收集所有的技术性审查报告需要的数据,如现时的安全政策、标准、准则、程序,以及诊断由技术基础设施所创建、储存和传送的敏感数据。
第3步: 人手测试及入侵漏洞
- 通过资产并分析其漏洞,包括潜在影响和可能性评估。
- 检查相关的电脑设备、服务器、防火墙和其他网络组件的物理保护。
- 透过技术性调整解决所发现的漏洞,降低安全风险水平。
第4步: 提供报告、简述分析及修补建议
- 测试完成后将提供安全报告。
第5步: 重新测试早前发现的漏洞
- 重新评估之前审查的漏洞。
安全审计(SA)
第1步: 界定审计范围
- 确定进行审计的方法及涵盖范围
第2步: 收集审计数据
- 查找要收集多少和什么类型的信息,以及确定如何筛选、保存和读取审计数据和记录。
第3步: 进行审计测试
- 在规定的审计范围内,彻底检视现有的安全配置、政策及标准。
- 设定及进行不同的自动安全扫描及渗透测试,取得相关报告及评估。
第4步: 保护审计数据和工具
- 审计数据和所有相关的实体文件也会分类及设定为适当的保安级别。
第5步: 审计报告、改进措施和后续行动
- 在审计测试后提供完整报告。如果有任何需要修补的安全漏动,也可以安排调整及提供支持。
多年经验
面对骇客入侵和数据外泄频频发生,不少企业和政府部门均要求定期全面检查系统。UD一直为各类大小公私营机构进行渗透测试,亦曾修复加固被挖矿劫持(cryptojacking)的社区组织网站,让你放下技术安全担忧,专注业务。
社福机构
- 在香港推出新网站前作最后测试
- 与某机构保持长期合作关系
本地学校
- 多月来持续跟进,修复测试已使用多年的电脑系统
- 发现内部系统重大漏洞
专业认证
CISSP
Associate of ISC2
CEH
PCIP
CREST CPSA
CREST CRT
OSCP
OSWP
INE Security eCPPT
INE Security eCPTX
INE Security eWPT
INE Security eWPTX
Altered Security CRTP
Altered Security CRTE
CompTIA CySA+
CompTIA Security
Splunk Core Certified Power User
常见问题
SRA 与 SA 有何分别?
安全风险评估(SRA)着重识别人、流程与技术上的风险,并结合扫描与人手测试;安全审计(SA)则审视监控措施、政策与证据是否符合要求,并提出改善建议。
如何索取报价?
请使用本页的查询或报价按钮打开产品查询表格(已预选 SRAA 相关项目),或致电 (852) 2554 7545 联络我们的网络安全团队。
服务收费:HK $45,000起/网站免费取得报价联络我们的专家
(852) 2554 7545
