Giới thiệu chung theo NIST:

Đánh giá an toàn hệ thống thông tin (information security assessment) là quy trình xác định tính hiệu quả của một thực thể được đánh giá (ví dụ như máy tính, hệ thống, mạng, quy trình vận hành, con người…) đáp ứng các mục tiêu an ninh cụ thể. Đánh giá an toàn thông tin là làm gì Đánh giá an toàn dựa trên 3 phương pháp chính có liên quan đến nhau là: rà soát (reviewing), kiểm thử (testing), kiểm tra (examination). Rà soát: bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏng vấn. Thường được thực hiện thủ công. Kiểm tra: xem xét cụ thể tại tổ chức từ mức hệ thống/mạng để xác định các điểm yếu an ninh tồn tại trong hệ thống. Kiểm thử: đóng vai trò như kẻ tấn công. Thực hiện các phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ thống hoặc mạng.

Tầm quan trọng của kiểm tra và đánh giá an toàn hệ thống thông tin

Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật mà tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trước tin tặc một bước, cụ thể là tìm ra điểm yếu trong hệ thống CNTT của đơn vị và khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.
Tuy nhiên, việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, và đòi hỏi tính khách quan cao nên các tổ chức đã hướng đên việc sử dụng các Dịch vụ Kiểm định và Đánh giá ATTT của các tổ chức bên ngoài.

Dịch vụ Kiểm tra và Đánh giá ATTT (Penetration Testing), hay còn gọi ngắn gọn là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thể bị tấn công hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thử nghiệm vào hệ thống của khách hàng. Các mục tiêu chính của dịch vụ Pentest bao gồm:

• Xác định các điểm yếu bảo mật trong hệ thống.
• Đưa ra những khuyến nghị và phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình pentest.
• Kiểm tra các chính sách ATTT của tổ chức.
• Kiểm tra, đánh giá nhận thức của người dùng khi xảy ra tấn công mạng vào tổ chức.

Thông thường, các thông tin về những điểm yếu bảo mật được xác định và khai thác qua quá trình pentest sẽ được tổng hợp và cung cấp cho các tổ chức nhằm hỗ trợ các tổ chức hoạch định các chiến lược và ưu tiên trong việc tăng cường an ninh bảo mật cho hệ thống CNTT của đơn vị.