Analiza sigurnosti i izrada sigurnosnih politika

Analiza sigurnosti sustava se radi kroz pasivnu i aktivnu analizu.
 
Pasivna analiza sigurnosti koristi MSAT (Microsoft Security Assessment Tool) i slične alate kako bi se dobio uvid u zrelost sustava te obavila procjena sigurnosti sustava u odnosu na općeprihvaćene standarde. MSAT procjena se sastoji od preko 200 pitanja koja obuhvaćaju infrastrukturu, aplikacije, operacije i ljude. Pitanja, povezani odgovori i preporuke izvedeni su iz općeprihvaćene najbolje prakse i standarda, kao što su ISO 17799 i NIST-800.x, kao i iz preporuka i propisanih smjernica iz Microsofta i drugih vanjskih sigurnosnih izvora.
 
Aktivna analiza sigurnosti sustava obuhvaća detaljnu analizu internih mrežnih resursa i različitih kategorija računalnih ranjivosti, od sistemskih i programskih nedostataka do konfiguracijskih propusta nastalih nestručnim rukovanjem i nestručnom konfiguracijom opreme.
Osim toga, aktivna analiza sigurnosti je korisna jer je u stanju pokazati razlike između dokumentiranog i stvarnog stanja sustava. Utvrđeni nedostaci kategoriziraju se sukladno kritičnosti, odnosno prema utjecaju na poslovanje.
 
Usluga izrade sigurnosnih politika je proces dokumentiranja internih pravila i procedura za korištenje ICT sustava poduzeća i temelji se na presjeku trenutnog stanja dobivenog analizom sigurnosti i željenog stanja koje je definirano poslovnim potrebama poduzeća, njegovim ciljevima te sigurnosnim zahtjevima.