甚麼是 SRAA?
SRAA(保安風險評估及審計)是香港對政府部門及政府資助機構的保安評估與審計要求,須由獨立第三方按指引完成評估並提交核證報告,一般透過安全風險評估(SRA)與安全審計(SA)實施。
保安風險評估及審計 (SRAA)
專門為香港政府機構和非營利組織進行網絡安全評估
所有政府部門和政府資助的組織(非政府組織/非營利組織) 都必須定期進行保安風險評估及審計評估。
- 香港特別行政區政府部門及有關機構
- 非政府組織/非營利組織
風險評估速覽
SRAA(保安風險評估及審計)要求政府部門及政府資助機構提交獨立核證的保安評估報告。UD 以第三方審核機構身份,依 OGCIO《IT 政策及指引》提供網絡安全風險評估(SRA)與安全審計(SA),涵蓋界定範圍、弱點掃描與人手測試、報告與跟進,以及覆檢已發現漏洞,協助機構符合規定並改善保安狀況。
甚麼是安全風險評估 (SRA) ?
SRA 是一份用作識別出公司技術及流程潛在風險的評估報告。我們會驗證你的監控措施是否足夠,以防範電腦安全威脅。
甚麼是安全審計 (SA) ?
SA 是對公司的系統中與電腦安全有關的活動進行全面審查,包括檢查系統是否有足夠的管制,及符合電腦安全政策的標準和要求,進而針對性提出相關的安全建議。
服務內容
我們基於OGCIO IT 政策及指引,以第三方身份提供網絡安全風險評估(SRA) 和安全審計(SA) 服務,以滿足對SRAA的要求。
立即查詢
(852) 2554 7545
聯絡我們的網絡安全專家
安全風險評估 (SRA)
基本自動化的「弱點掃描」配合專業技術員人手測試,謹慎高效,漏洞無所遁形,而且測試期間毫不影響日常運作。
第1步: 與客戶會面確認測試內容
- 識別你的機構所擁用的關鍵技術資產和處理敏感性數據的設備,並了解創建、儲存及傳送資料的相關流程。
第2步: 情報蒐集及弱點掃描
- 收集所有技術性審查報告需要的數據,如現時的安全政策、標準、準則、程序,以及診斷由技術基礎設施所創建、儲存和傳送的敏感數據。
第3步: 人手測試及入侵漏洞
- 通過資產並分析其漏洞,包括潛在影響和可能性評估。
- 檢查相關的電腦設備、伺服器、防火牆和其他網路組件的物理保護。
- 透過技術性調整解決所發現的漏洞,降低安全風險水平。
第4步: 提供報告、簡述分析及修補建議
- 測試完成後將提供安全報告。
第5步: 重新測試早前發現的漏洞
- 重新評估之前審查的漏洞。
安全審計 (SA)
第1步: 界定審計範圍
- 確定進行審計的方法及涵蓋範圍
第2步: 收集審計數據
- 查找要收集多少和什麼類型的信息,以及確定如何篩選、保存和讀取審計數據和記錄。
第3步: 進行審計測試
- 在規定的審計範圍內,徹底檢視現有的安全配置、政策及標準。
- 設定及進行不同的自動安全掃描及滲透測試,取得相關報告及評估。
第4步: 保護審計數據和工具
- 審計數據和所有相關的實體文件也會分類及設定為適當的保安級別。
第5步: 審計報告、改進措施和後續行動
- 在審計測試後提供完整報告。如果有任何需要修補的安全漏動,也可以安排調整及提供支援。
多年經驗
面對駭客入侵和資料外洩頻頻發生,不少企業和政府部門均要求定期全面檢查系統。UD一直為各類大小公私營機構進行滲透測試,亦曾修復加固被挖礦劫持(cryptojacking)的社區組織網站,讓你放下技術安全擔憂,專注業務。
社福機構
- 在香港推出新網站前作最後測試
- 與某機構保持長期合作關係
本地學校
- 多月來持續跟進,修復測試已使用多年的電腦系統
- 發現內部系統重大漏洞
專業認證
CISSP
Associate of ISC2
CEH
PCIP
CREST CPSA
CREST CRT
OSCP
OSWP
INE Security eCPPT
INE Security eCPTX
INE Security eWPT
INE Security eWPTX
Altered Security CRTP
Altered Security CRTE
CompTIA CySA+
CompTIA Security
Splunk Core Certified Power User
常見問題
SRA 與 SA 有何分別?
安全風險評估(SRA)著重識別人、流程與技術上的風險,並結合掃描與人手測試;安全審計(SA)則審視監控措施、政策與證據是否符合要求,並提出改善建議。
如何索取報價?
請使用本頁的查詢或報價按鈕開啟產品查詢表格(已預選 SRAA 相關項目),或致電 (852) 2554 7545 聯絡我們的網絡安全團隊。
服務收費: HK $45,000 起 / 網站免費取得報價聯絡我們的專家
(852) 2554 7545
