a)等级测评:依据《GB/T22239-2008信息安全等级保护测评要求》、《GB/T28449-2012信息安全等级保护测评过程指南》等相关国家标准,对用户单位备案信息系统的安全管理措施和安全技术措施进行合规性检查,为系统等级保护措施的改进提供参考依据。
b)风险评估:依据《GB/T 20984-2007 信息安全技术信息安全风险评估规范》,对用户单位信息系统的资产、威胁、脆弱性进行综合分析,判断信息系统面临的安全风险,提出风险管理建议,为系统安全保护措施的改进提供参考依据。
c)渗透测试:模拟黑客的入侵方式对用户单位信息系统进行多方位的安全检测,测试核心数据是否安全,安全机制是否可能存在绕过的可能,是否能抵御外部的攻击,是否有安全意识等,并针对测试所暴露的安全问题提出相应的整改措施。