信息安全咨詢_第1頁
信息安全咨詢_第2頁
信息安全咨詢_第3頁
信息安全咨詢_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、面對(duì) Internet 帶來的威脅,許多網(wǎng)絡(luò)安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品包括運(yùn)用殺毒軟件、防火墻、安全管理、認(rèn)證授權(quán)、加密等手段,并提供相應(yīng)的產(chǎn)品來進(jìn)行安全防護(hù),以確保網(wǎng)絡(luò)的安全。但單一的安全產(chǎn)品,已經(jīng)難以有效地保證用戶的網(wǎng)絡(luò)安全維護(hù),在技術(shù)日新月異的趨勢下,用戶盼望更為專業(yè)的安全服務(wù),尤其是企業(yè)、媒體和各類網(wǎng)站等專業(yè)用戶,他們更加需要一套從系統(tǒng)分析到產(chǎn)品與服務(wù)的專業(yè)化整體解決方案。作為專業(yè)的信息安全管理咨詢機(jī)構(gòu),我們積累了豐富的 ISMS 建設(shè)實(shí)踐經(jīng)驗(yàn),形成完整的方法論體系,能夠幫助客戶建立符合自身業(yè)務(wù)要求和標(biāo)準(zhǔn)要求的信息安全管理體系,提升組織信息安全保障能力、確保組織業(yè)務(wù)持

2、續(xù)運(yùn)行。針對(duì)用戶的信息安全需求,我們推出了以下專業(yè)安全服務(wù)。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)是一項(xiàng)以安全性評(píng)估和改進(jìn)為目標(biāo)的咨詢服務(wù)。通過對(duì)客戶信息系統(tǒng)的安全調(diào)查,識(shí)別信息系統(tǒng)的關(guān)鍵資產(chǎn)、面臨的威脅以及存在的脆弱性,量化分析客戶信息系統(tǒng)中存在的安全風(fēng)險(xiǎn),為客戶提供風(fēng)險(xiǎn)控制及安全性改進(jìn)的建議,并協(xié)助客戶實(shí)施各項(xiàng)風(fēng)險(xiǎn)控制措施,以管理信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)。評(píng)估模型與方法威脅,因素關(guān)鍵資產(chǎn)|資產(chǎn)組件脆弱薄弱環(huán)節(jié)預(yù)防能力控制能力風(fēng)險(xiǎn)0、現(xiàn)有信息系統(tǒng)分析:對(duì)現(xiàn)有信息系統(tǒng)、所處環(huán)境、管理組織、用戶的安全需求進(jìn)行調(diào)查分析,是分析工作的基點(diǎn)。1、識(shí)別關(guān)鍵資產(chǎn):根據(jù)信息系統(tǒng)分析的結(jié)果識(shí)別出系統(tǒng)的關(guān)

3、鍵資產(chǎn),以此為核心進(jìn)行風(fēng)險(xiǎn)分析工作。2、識(shí)別威脅:識(shí)別出信息系統(tǒng)主要的安全威脅、以及相應(yīng)的威脅途徑/方式。3、識(shí)別脆弱點(diǎn):通過測試或訪談的形式識(shí)別出系統(tǒng)在技術(shù)脆弱點(diǎn)與管理方面的薄弱環(huán)節(jié),以及組織的事件防范能力。4、分析事件影響:結(jié)合組織的安全需求,事件控制能力,信息系統(tǒng)結(jié)構(gòu)綜合分析威脅事件對(duì)信息系統(tǒng)可能造成的影響。5、綜合風(fēng)險(xiǎn)評(píng)估:綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱點(diǎn)及防范能力、綜合事件影響評(píng)估組織面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估服務(wù)內(nèi)容根據(jù)客戶需求不同,我們可以為客戶提供多種類型的評(píng)估服務(wù)。評(píng)估內(nèi)容主要包括:設(shè)施安全性評(píng)估:對(duì)信息系統(tǒng)的周邊環(huán)境、機(jī)房設(shè)施等進(jìn)行評(píng)估診斷。網(wǎng)絡(luò)安全性評(píng)估:對(duì)系統(tǒng)所依賴的網(wǎng)絡(luò)進(jìn)行安

4、全性評(píng)估,包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備等。平臺(tái)安全性評(píng)估:對(duì)終端或服務(wù)器平臺(tái)進(jìn)行安全性評(píng)估診斷,包括硬件配置、操作系統(tǒng)、數(shù)據(jù)庫等。數(shù)據(jù)安全性評(píng)估:對(duì)數(shù)據(jù)的完整、機(jī)密、可靠、可用等要素進(jìn)行評(píng)估。應(yīng)用安全性評(píng)估:對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的安全性進(jìn)行測試和診斷,包括滲透性測試、攻擊測試、源代碼分析等。安全管理評(píng)估:對(duì)系統(tǒng)的信息安全管理機(jī)制進(jìn)行調(diào)查和評(píng)估。綜合風(fēng)險(xiǎn)評(píng)估:對(duì)設(shè)施、網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、管理等方面的安全性進(jìn)行綜合評(píng)估。評(píng)估實(shí)施流程前期準(zhǔn)備階段:確定評(píng)估范圍成立評(píng)估項(xiàng)目組召開項(xiàng)目啟動(dòng)會(huì)背景資料收集確定評(píng)估方法編制實(shí)施方案與計(jì)劃準(zhǔn)備評(píng)估工具現(xiàn)場調(diào)查階段:問卷調(diào)查現(xiàn)場訪問討論會(huì)議技術(shù)測試風(fēng)險(xiǎn)分析階段:威脅量化脆弱性

5、量化影響量化風(fēng)險(xiǎn)分析與評(píng)價(jià)安全策略階段:確定安全需求確定安全目標(biāo)提出風(fēng)險(xiǎn)控制建議協(xié)助實(shí)施風(fēng)險(xiǎn)控制措施參考安全標(biāo)準(zhǔn)ISO13335-1IT 安全管理指南第 1 部分:IT 安全概念和模型ISO/IEC17799信息安全管理實(shí)用規(guī)則信息保障技術(shù)框架一一 IATF信息系統(tǒng)安全風(fēng)險(xiǎn)分析方法 OCTAVE(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation)國家標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估指南信息安全管理體系建設(shè)(ISMS)服務(wù)服務(wù)ISMS咨詢服務(wù)是根據(jù)國際標(biāo)準(zhǔn) ISO/IEC27001:2005,為組織建立完整的信息安全管理體系,以通過 I

6、SO/IEC27001 管理體系認(rèn)證為目標(biāo)的咨詢服務(wù)。通過差距分析、風(fēng)險(xiǎn)評(píng)估、安全規(guī)劃等各種手段,對(duì)組織的 11 個(gè)控制方面,39 個(gè)控制目標(biāo)和 133 項(xiàng)控制要素進(jìn)行安全控制,建立完善的信息安全管理體系,對(duì)內(nèi)從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件,對(duì)外樹立信息系統(tǒng)可靠性形象,滿足顧客要求,提高企業(yè)競爭能力。服務(wù)內(nèi)容根據(jù)客戶需求不同,我們可以為客戶提供多種咨詢服務(wù)。服務(wù)內(nèi)容主要包括:建立信息安全管理體系ISO/IEC27001 認(rèn)證咨詢ISO/IEC20000 認(rèn)證咨詢ISMS 宣貫培訓(xùn)風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理咨詢ISMS 文件編寫咨詢ISO27001 與 ISO20000、ISO9001 整合咨

7、詢體系建立模型與方法Plan 規(guī)劃:根據(jù)組織業(yè)務(wù)運(yùn)作的安全需求,確定信息安全管理的范圍以及安全策略,建立信息安全組織結(jié)構(gòu),進(jìn)行現(xiàn)場調(diào)查及差距分析,通過風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)和方式,編寫 ISMS體系文件,包括必要的流程和業(yè)務(wù)持續(xù)性計(jì)劃等工作。計(jì)劃階段最重要的部分是設(shè)定認(rèn)證涵蓋的范圍及區(qū)域。Do 實(shí)施:發(fā)布及實(shí)施 ISMS。在實(shí)施階段中三零公司要協(xié)助組織實(shí)施安全策略、控制措施、流程、規(guī)章制度,并準(zhǔn)備適用性報(bào)告。同時(shí)也需確保所有員工都了解信息安全的重要性,且確保其接受了適當(dāng)?shù)呐嘤?xùn),及有能力執(zhí)行他們負(fù)責(zé)的安全工作。此外,還要積極協(xié)調(diào)所需的資源。Check 檢查:核查的目的是依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測量,對(duì)信息安全管理過程和信息系統(tǒng)的安全進(jìn)行監(jiān)控和驗(yàn)證,并決策者報(bào)告結(jié)果。確??刂拼胧┒家淹菩?,并能達(dá)到既定的目標(biāo)。該階段工作內(nèi)容主要包括內(nèi)部審核與管理評(píng)審。Act 處置:需要對(duì)核查結(jié)果采取適當(dāng)?shù)男袆?dòng),采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績,以達(dá)到對(duì) ISMS 的持續(xù)改進(jìn)。參考安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論