信息安全管理體系咨詢PDCA模板

信息安全管理體系咨詢PDCA資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。信息安全管理體系解決方案目錄信息安全管理體系解決方案 1第一章安全風險評估服務 3第二章安全管理體系咨詢 4第三章應用系統(tǒng)安全評估 5第四章敏感信息保護咨詢 6第五章業(yè)務連續(xù)性咨詢 8第六章IT審計服務 8第七章SDL開發(fā)安全咨詢 9第八章ISO27001認證咨詢 11第九章等級保護體系咨詢 13第十章ISO20000認證咨詢 14第十一章IT服務管理產品實施 15第十二章信息安全管理體系咨詢 17第十三章技術方案 191、信息安全風險管理系統(tǒng) 192、合規(guī)管理系統(tǒng)——等級保護 203、合規(guī)管理系統(tǒng)——ISO27000 224、信息安全管理平臺 23第十四章解決方案 251、金融行業(yè)解決方案 252、通信行業(yè)解決方案 273、央企解決方案 274、開發(fā)安全解決方案 275、大型企業(yè)解決方案 31

第一章安全風險評估服務GooAnn基于國際信息安全體系進行信息安全風險評估服務,協(xié)助企業(yè)識別信息資產及業(yè)務流程的信息安全弱點,并針對信息安全威脅提供信息安全風險處理規(guī)劃建議。在企業(yè)實施信息安全管理之前的風險評估服務,能夠幫助企業(yè)認識現(xiàn)狀與信息安全標準及規(guī)范要求的差距,并能夠協(xié)助客戶制訂改進規(guī)劃。在需要時進一步提供信息安全保障體系或管理體系的咨詢服務。價值提升:基于以上核心優(yōu)勢,GooAnn的風險評估服務為客戶提供額外的附加價值,包括:基于行業(yè)風險知識庫,評估的風險更加充分并具有針對性;基于全方位的風險評估,為客戶識別IT組織規(guī)劃、業(yè)務流程、信息系統(tǒng)及信息資產面正確IT風險;結合管理與技術的風險評估結果,能夠幫助客戶更加有效地識別安全隱患,風險評估結論能夠用于建立管理制度,并經過建立針對于技術評估發(fā)現(xiàn)的技術風險的控制措施,真正將風險處理落到實處;GooAnn不但能夠在風險評估中幫助客戶發(fā)現(xiàn)問題,而且經過全面IT服務能力幫助客戶真正解決涵蓋IT治理、IT服務管理及信息安全方面的問題。為什么選擇我們:GooAnn的風險評估服務具有不同于別家的特性和優(yōu)勢,以區(qū)隔一般的信息安全評估服務:基于不同行業(yè),建立有基于GooAnn自主知識產權的IT風險管理軟件的行業(yè)風險知識庫;GooAnn的咨詢服務涵蓋IT內控、IT規(guī)劃、軟件開發(fā)、IT服務管理及信息安全。因此評估過程中,基于自身的綜合IT管理咨詢經驗,能夠更加充分有效地評估在組織結構、業(yè)務流程及信息資產等方面的信息安全風險,提供全方位立體的結論;GooAnn具有全面強大的后續(xù)服務能力,基于評估發(fā)現(xiàn)的風險,GooAnn能夠提供IT規(guī)劃、IT服務管理、軟件開發(fā)及信息安全管理體系建設服務。第二章安全管理體系咨詢GooAnn依據信息安全相關國際標準,提供信息安全保障體系與信息安全管理體系(ISMS)咨詢和實施服務,從管理、技術、人員、過程的角度來定義、建立、實施信息安全體系,保障組織的信息安全”滴水不漏”,確保組織業(yè)務的持續(xù)運營,維護企業(yè)的競爭優(yōu)勢。價值提升:經過建立信息安全管理體系,明確安全管理對于業(yè)務促進的重要作用,使安全風險和責任意識從傳統(tǒng)的IT部門擴展到企業(yè)每個員工,提高了安全管理的整體效率;經過PDCA過程方法和相應的組織保障體系,使企業(yè)安全管理從”無序、零散、被動”的風險補救行為轉變?yōu)椤毕到y(tǒng)、科學、連貫、主動”的風險駕馭狀態(tài);經過完善各類安全管理制度,使企業(yè)具有處理突發(fā)事件的能力,在制度上和管理上保證企業(yè)核心業(yè)務的可持續(xù)運行。經過建立統(tǒng)一的信息安全策略指導各業(yè)務部門在處理業(yè)務敏感信息方面的行為,防止機密信息泄露;為業(yè)務系統(tǒng)的設計、開發(fā)和運行維護方面提供統(tǒng)一的安全規(guī)則。信息安全管理體系(ISMS)體系的實施,不但能改進企業(yè)的安全風險水平,而且能讓企業(yè)擁有可控的風險管理架構、方法和保障落實機制。正是因為擁有這套機制,才確保企業(yè)在不斷變化的安全風險環(huán)境中,始終能夠經過科學的方法和持續(xù)的改進,達到管理者可接受的安全風險水平。為什么選擇我們:GooAnn由一批高素質、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項目實施經驗,同時具備諸多國際上最為認可的高級資質,包括CISSP、BS7799主任審核員、ITIL實施證書、CISA、CISM等。GooAnn顧問團隊很好地把信息安全領域的專業(yè)技術及實踐經驗與以業(yè)務為驅動的管理咨詢方法及體系實施特點有機結合在一起,即能夠深入到細節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓貫穿項目實施全過程。GooAnn與國內外的信息安全產品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術動態(tài)和最新的成果,同時GooAnn也擔任國內多家著名安全公司的安全管理咨詢指導工作。是國內大型企業(yè)實施案例最多的咨詢公司。我們的承諾:GooAnn參照信息安全管理體系相關國際標準,建立內部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機密。幫助客戶建立一套能夠完全符合企業(yè)實際需求的信息安全管理體系,培養(yǎng)企業(yè)內部信息安全人員及內部顧問,企業(yè)不會因為顧問結束服務后而不知如何實施與維護。第三章應用系統(tǒng)安全評估應用系統(tǒng)安全評估:從系統(tǒng)研發(fā)、身份鑒別、訪問控制、流程安全、異常處理、備份與故障恢復、密碼安全、輸入輸出合法性、安全審計、數(shù)據安全性十個方面評價應用系統(tǒng)的整體安全,發(fā)現(xiàn)應用程序在設計、運營和管理方面存在的安全風險,并提供具體的修改意見,確保應用系統(tǒng)自身的安全。業(yè)務流程安全評估:從企業(yè)的業(yè)務層面來看,信息安全應當不但僅是信息資產本身是否安全可靠,還要關注資產在其所運行的環(huán)境和經歷的流程中保證安全,IT資產可能經歷的流程有需要IT支撐的業(yè)務流程(如:跨部門業(yè)務處理流程),支撐業(yè)務過程的IT流程(即縱向IT過程,如:軟件開發(fā)、測試和上線流程)。也有支撐IT本身的績效及安全的IT流程(即橫向IT過程,如變更管理過程)。經過風險評估,分析其可能存在的風險和對業(yè)務影響,提出了有針對性的風險處理辦法,建立適用的IT流程控制目標,及這些控制目標對應的控制實施、控制原因及績效屬性,以便于對風險的精細化管理。價值提升:提高應用系統(tǒng)的安全性和穩(wěn)定性,防止業(yè)務數(shù)據的丟失。規(guī)范客戶的業(yè)務流程,優(yōu)化客戶的業(yè)務結構,有效提升客戶的業(yè)務效率和降低客戶的運營成本。核心優(yōu)勢:國內首家開展面向業(yè)務層面安全保障的服務商,成熟的方法論和多個典型的具有代表性的案例。第四章敏感信息保護咨詢GooAnn敏感信息保護咨詢,是在數(shù)據信息生命周期的各個環(huán)節(jié),針對各類結構化、半結構化及非結構化的敏感數(shù)據,分析是否在數(shù)據獲取、數(shù)據存儲、數(shù)據使用、數(shù)據共享、數(shù)據歸檔、數(shù)據銷毀過程中,可能由于技術缺陷、管理不到位、安全意識薄弱等原因,造成敏感數(shù)據泄漏事件的發(fā)生。價值提升:經過實施敏感信息保護咨詢,能夠根據存在的敏感信息保護風險,從策略管理與技術控制兩個層面進行管控。全面分析信息泄露途徑,實施各種安全控制措施,從而達到早預防早控制的效果。高度的適應性,能夠根據客戶的信息系統(tǒng)獲取方式進行定制。GooAnn簡化安全管理。明確敏感信息防護的部門和角色來執(zhí)行,分工明確,責任落實,便于量化考核。為什么選擇GooAnn:GooAnn由一批高素質、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項目實施經驗,同時具備諸多國際上最為認可的高級資質,包括CISSP、BS7799主任審核員、ITIL實施證書、CISA、CISM等。GooAnn顧問團隊均具備十多年的安全經驗,具備豐富的經驗,既能夠深入到細節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓貫穿項目實施全過程。GooAnn與國內外的相關信息安全產品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術動態(tài)和最新的成果,同時GooAnn也擔任國內多家著名安全公司的安全管理咨詢指導工作。是國內大型企業(yè)實施敏感數(shù)據保護案例最多的咨詢公司。第五章業(yè)務連續(xù)性咨詢GooAnn基于BS25999及BCI(BusinessContinuityInstitute)BusinessContinuityGuide提供業(yè)務連續(xù)性管理咨詢服務。內容包括日常運作流程設計、危機管理和大型災害的應對計劃和策略,業(yè)務持續(xù)性管理團隊建設和咨詢等諸多方面的服務,能夠幫助客戶從技術、流程、人員三方面提高業(yè)務持續(xù)能力,保證企業(yè)的正常運作和發(fā)展,不但僅包括災難恢復、危機管理、風險管理,也不但僅是一個IT問題,而是企業(yè)整體運營戰(zhàn)略的一部分。它的建立包括重新審視企業(yè)的組織結構操作流程,發(fā)現(xiàn)其中不能適應意外風險和災難的弱點,經過改進和提高這些結構和流程來避免企業(yè)業(yè)務運行的中斷和丟失。經過對企業(yè)業(yè)務的深入評估,GooAnn與客戶高層一起進行業(yè)務影響分析,并經過業(yè)務需求與客戶一起識別業(yè)務連續(xù)性目標,諸如MTO(MaximumTolerableOutage)、RTO(RecoveryTimeObjectives)以及RPO(RecoveryPointObjectives)等關鍵指標。在業(yè)務連續(xù)性風險評估后,與客戶一起建立業(yè)務連續(xù)性計劃,并指導進行演練,最終協(xié)助客戶建立業(yè)務連續(xù)性管理體系。價值提升:GooAnn與金融系統(tǒng)災備中心建立有緊密合作關系。不但能夠為客戶提供業(yè)務連續(xù)性管理體系建設服務,而且能夠與合作伙伴一起幫助客戶基于業(yè)務連續(xù)性計劃建立災備中心,真正幫助客戶把業(yè)務連續(xù)性管理落到實處。為什么選擇我們:GooAnn擁有自己的業(yè)務連續(xù)性管理專家,精通BS25999標準要求,而且具有實際建立業(yè)務連續(xù)性體系的實施經驗。第六章IT審計服務IT控制審計服務的目的就是根據組織的業(yè)務需求及相關法律法規(guī)要求,在Cobit框架下,參照與IT相關的具體控制標準、指南或最佳實踐,從實體、IT流程、IT資源三個層面出發(fā),采用訪談、核查、測試等信息收集手段,分析評價IT系統(tǒng)及其相關業(yè)務應用是否滿足相關法規(guī)制度、標準指南及最佳實踐要求,并針對不符合部分提出改進建議。IT控制審計服務包括內部審計策劃、審計準備、審計對象調查、實施審計、審計發(fā)現(xiàn)復核及溝通、審計報告六大步驟,共分四個階段,各個階段說明如下:為什么選擇我們:GooAnn合規(guī)部門擁有一支具有豐富的國內外IT治理、IT風險控制及信息安全咨詢經驗的專家顧問團隊,主要由國際大型咨詢顧問公司(畢馬威/畢博/安永/埃森哲)及國內大型信息安全廠商公司人員組成。擁有國內最大的信息安全培訓公司和完善的知識庫體系。擁有自主研發(fā)的IT風險管理軟件,提升項目實施效率降低了客戶投入費用。擁有眾多實施案例。國內最大的IT審計培訓機構,擁有國內最強的IT審計的師資力量。第七章SDL開發(fā)安全咨詢GooAnn公司SDL開發(fā)安全咨詢重點參考了微軟SDL相關推薦文檔1和《GB/T20274信息安全技術信息系統(tǒng)安全保障評估框架》,為客戶建立全面的信息系統(tǒng)生命周期安全保障體系框架。框架將考慮到各種信息系統(tǒng)的獲取方式以及客戶內部的組織機構特點,能夠進行多種定制,具有高度的適應性。實施保障體系能夠為客戶明確信息系統(tǒng)生命周期各階段的各種安全保障流程,方法,活動,以及實施這些流程,方法,活動的組織機構建設和責任劃分。價值提升:經過建立SDL開發(fā)安全體系,能夠為信息系統(tǒng)提供全生命周期安全。安全保障貫穿信息系統(tǒng)生命周期始終,覆蓋信息系統(tǒng)生命周期各項活動。為用戶節(jié)省安全成本。能夠在信息系統(tǒng)開始規(guī)劃階段就會全面考慮系統(tǒng)安全問題,實施各種安全控制措施,從而達到早預防,節(jié)省成本的效果。高度的適應性,能夠根據客戶的信息系統(tǒng)獲取方式進行定制。簡化安全管理。實施SDL后,信息系統(tǒng)生命周期各階段的安全活動有明確的部門和角色來執(zhí)行,分工明確,責任落實,便于量化考核。為什么選擇我們:GooAnn由一批高素質、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項目實施經驗,同時具備諸多國際上最為認可的高級資質,包括CISSP、BS7799主任審核員、ITIL實施證書、CISA、CISM等。GooAnn開發(fā)安全顧問團隊具備十多年的安全開發(fā)經驗,具備豐富的經驗,既能夠深入到細節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓貫穿項目實施全過程。GooAnn與國內外的相關信息安全產品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術動態(tài)和最新的成果,同時GooAnn也擔任國內多家著名安全公司的安全管理咨詢指導工作。是國內大型企業(yè)實施開發(fā)安全案例最多的咨詢公司。第八章ISO27001認證咨詢GooAnn參照ISO27000信息安全管理體系國際標準,為企業(yè)提供信息安全管理體系實施服務,并獲得相關信息安全證書,以專業(yè)的服務精神幫助企業(yè)建立符合國際標準要求的信息安全管理體系。價值提升:經過ISO27001認證能保證和證明組織所有的部門對信息安全的承諾。經過ISO27001認證可改進全體的業(yè)績、消除不信任感。獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業(yè)務。建立信息安全管理體系能降低這種風險,經過第三方的認證能增強投資者及其它利益相關方的投資信心。組織按照信息安全體系相關標準建立信息安全管理體系,會有一定的投入,可是若能經過認證機關的審核,獲得認證,將會獲得有價值的回報。企業(yè)經過認證將能夠向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改進,并以此作為增強信息安全性的依據、信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。經過認證能夠向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合性。為什么選擇我們:與認證機構的緊密溝通,與中國信息安全認證中心、BSI、DNV、BV、等國際、國內著名的認證機構建立了戰(zhàn)略合作關系。GooAnn多名顧問是國外認證公司的兼職審核員。GooAnn由一批高素質、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項目實施經驗,同時具備諸多國際上最為認可的高級資質,包括CISSP、BS7799主任審核員、CISA、CISM、ITIL證書等。GooAnn顧問團隊很好地把信息安全領域的專業(yè)技術及實踐經驗與以業(yè)務為驅動的管理咨詢方法及體系實施特點有機結合在一起,即能夠深入到細節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓貫穿項目實施全過程。GooAnn與國內外的信息安全產品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術動態(tài)和最新的成果,同時GooAnn也擔任國內多家著名安全公司的安全管理咨詢指導工作。是國內大型企業(yè)ISO27001認證咨詢實施案例最多的咨詢公司。我們的承諾:GooAnn參照相關標準,建立內部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機密。專業(yè)顧問協(xié)助企業(yè)共同擬定推動計劃,并定期進行進度跟蹤、檢查與改進。協(xié)助經過信息安全國際標準ISO27001:的認證。第九章等級保護體系咨詢依照國家等級保護制度,幫助客戶達到體系化的安全保障水平,采用體系化和等級化相結合的方法,為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。價值提升:建立一套持續(xù)運行、涵蓋所有安全內容的安全保障體系等級化:突出重點,節(jié)省成本,滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性:結構化,系統(tǒng)化,內容全面針對性:針對實際情況,符合業(yè)務特性和發(fā)展戰(zhàn)略持續(xù)性:可持續(xù)發(fā)展和完善,持續(xù)運行為什么選擇我們:GooAnn顧問參與等保標準的制定,對等保標準有深刻理解與實踐。與公安部和業(yè)務知名等保專家緊密溝通,及時了解等保相關最新動態(tài)。第三方公司客觀公正為客戶提供產品解決方案。有來自各大信息安全廠商顧問,對信息安全產品集成有豐富經驗。我們的承諾:GooAnn參照信息安全國際標準,建立內部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機密。我們的解決方案以客戶利益出發(fā),GooAnn做為第三方咨詢公司絕不參與信息安全技術產品銷售。第十章ISO0認證咨詢提供基于PDCA用方法和相關國際標準的IT服務管理體系建設服務,并結合認證機構提供IT服務管理體系咨詢服務,改變企業(yè)IT管理現(xiàn)狀,提升企業(yè)IT管理水平,提升市場競爭力。價值提升:獲得ISO0相關證書:意味著您的組織達到了世界公認的領先的IT服務管理標準。意味著您的服務管理采用于IT服務管理最佳實踐,確保為客戶提供有效的、可靠的IT服務。經過實施IT服務管理體系相關標準,能夠有效改變企業(yè)IT管理現(xiàn)狀,提升企業(yè)IT管理水平,使企業(yè)IT部門由被動轉化為主動,而且還可獲取大量的業(yè)務和財務受益。ISO0標準還有助于在既定資源約束下為客戶提供優(yōu)質的服務以滿足她們的業(yè)務需求,如專業(yè)、成本效益和風險受控的服務。為什么選擇我們:與認證機構的緊密溝通,與BSI、DNV、BV、中國信息安全認證中心等國際、國內著名的認證機構建立了戰(zhàn)略合作關系。GooAnn多名顧問是國外公司的兼職審核員。GooAnn一直致力于IT服務治理、風險控制、信息安全等在各個行業(yè)的應用,擁有數(shù)位資深顧問,擁有在金融、通訊、能源、制造業(yè)、BPO等各行業(yè)的成功實施經驗,且能夠結合客戶自身特點,提供不同的咨詢指導方式,幫助客戶建立基于國際相關標準的IT服務管理體系,并有效地和客戶原有管理模式和管理體系進行融合,使流程高效率低投入的運轉。第十一章IT服務管理產品實施依據ITIL、等國際標準,吸取業(yè)界廣泛采用的IT管理、運營與規(guī)劃領域的核心理念、方法論和最佳實踐,為我們的客戶提供完整的IT服務管理(ITSM)咨詢和實施服務,降低服務成本、提高服務質量。價值提升:應用IT服務管理體系能夠使組織建立起一套IT服務管理的最佳流程,從而系統(tǒng)地、有序地提供管理服務,為組織帶來以下益處:有效地管理服務以滿足客戶和業(yè)務需求獲得權威認證機構(由itSMF認可)頒發(fā)的證書,能夠提升市場競爭優(yōu)勢建立透明、優(yōu)化的組織架構,降低IT運營成本將服務管理與整體業(yè)務流程相結合對服務管理進行測評及控制建立清晰的、集中的關于服務流程和常規(guī)實踐的文件系統(tǒng)使員工提高對服務管理責任的理解定期評估服務管理流程,維護和改進其有效性有效的業(yè)務持續(xù)性管理廣泛認可的IT服務管理實踐易于和其它管理體系整合為什么選擇我們:GooAnnITIL部門合伙人都是國內最早從事ITIL咨詢和培訓的專家。顧問都是來自BSI、IBM、西門子等業(yè)內知名企業(yè)。都具備扎實的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項目實施經驗,同時具備諸多國際上最為認可的高級資質,包括CISSP、IT服務管理體系主任審核員、ITIL實施證書、CISA、CISM等。顧問式培訓貫穿項目實施全過程。我們的承諾:GooAnn參照IT服務管理體系相關標準,建立內部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機密。建立一套能夠完全符合企業(yè)實際需求的IT服務管理體系,培養(yǎng)企業(yè)內部顧問,企業(yè)不會因為顧問結束服務后而不知如何實施與維護。第十二章信息安全管理體系咨詢信息安全管理體系咨詢服務的目的就是根據ISO27001標準的要求,采用PDCA的過程模型,經過基于資產的風險評估,幫助客戶建立文件化的信息安全管理體系,輔導客戶在其組織范圍內實施、運行、評審信息安全管理體系,從而確?？蛻粜畔⑾到y(tǒng)的正常運行,提高服務競爭力,最終促進客戶業(yè)務的開展。信息安全管理體系建設咨詢服務包括準備、風險評估、安全體系規(guī)劃與設計、安全體系實施/調整/評審四個階段,各個階段如圖所示:第十三章技術方案1、信息安全風險管理系統(tǒng)顯著提高信息安全風險工作效率輕松成為信息風險管理專家產品簡介:信息安全風險管理系統(tǒng)(Goo-ISRM),經過信息化手段,在綜合考慮成本效益的前提下,經過安全措施控制風險,使殘余風險降低到組織能夠接收的程度。本系統(tǒng)依據國內外有關信息安全相關標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程,從信息資產、信息系統(tǒng)、業(yè)務流程等多個維度,評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響,并根據安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。風險管理的意義和作用在于發(fā)現(xiàn)和識別組織所有潛在的信息安全風險,經過科學統(tǒng)一的、可重復比正確方法論進行分析評價,進而為信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設做出合理的決策。風險管理工作是一項費時、需要人力支持以及相關專業(yè)或業(yè)務知識支持的工作。信息安全風險管理系統(tǒng)(Goo-ISRM)不但把技術人員從繁雜的資產統(tǒng)計、風險評估的工作過程中解脫出來,還能夠完成一些人力無法完成的工作。該軟件的風險評估和風險管理過程既滿足國際標準ISO27001、ISO27002和ISO27005的要求,也滿足國家標準GB20984《信息安全風險評估規(guī)范》的要求,以及公安部等級保護測評要求。信息安全風險管理系統(tǒng)(Goo-ISRM)的內部結構模塊如下圖所示:產品特點:*專業(yè)豐富的知識經驗庫:GooAnn-信息安全風險管理系統(tǒng)匯聚了專家顧問多年的行業(yè)經驗,形成了專業(yè)豐富的知識經驗庫,使得用戶無需具備較高專業(yè)知識也能夠開展信息安全風險管理工作,降低了信息安全工作的門檻,提高信息安全工作的效率。*化繁為簡的評估流程:GooAnn-信息安全風險管理系統(tǒng)將復雜的風險評估流程固化到系統(tǒng)之中。*高效可靠的風險管理:GooAnn-信息安全風險管理系統(tǒng)充分利用信息化手段來提高風險管理的工作效率,保障風險管理工作的質量。*持續(xù)有效的風險管控:GooAnn-信息安全風險管理系統(tǒng)中能夠便宜的管理著歷次的信息安全風險評估結果,清晰的了解風險變化趨勢,準確的查閱出風險的控制措施和責任人員,實現(xiàn)持續(xù)有效的風險管控。*清晰多樣的效果展示:GooAnn-信息安全風險管理系統(tǒng)中清晰多樣的展現(xiàn)了組織當前的風險情況。給用戶帶來的收益:*幫助企業(yè)輕松完成復雜的資產統(tǒng)計、風險評估工作,最大程度的為企業(yè)降低風險評估工作管理成本并提高效率。2、合規(guī)管理系統(tǒng)——等級保護對國家基本制度——等級保護建設工作的創(chuàng)新推動產品簡介:等級保護合規(guī)管理系統(tǒng)是谷安天下根據國家信息系統(tǒng)等級保護標準研發(fā)的管理系統(tǒng)平臺,專為等級保護項目的建設過程和管理過程提供工具和知識支持。該軟件平臺滿足*GB/T22239-《信息安全技術信息系統(tǒng)安全等級保護基本要求》*GB/T22240-《信息安全技術信息系統(tǒng)安全等級保護定級指南》*《信息安全技術信息系統(tǒng)安全等級保護測評要求》(報批稿)*《信息安全技術信息系統(tǒng)等級保護測評過程指南》(報批稿)*《信息安全技術信息系統(tǒng)等級保護實施指南》(報批稿)系統(tǒng)根據等級保護建設項目流程,分為等級、備案、現(xiàn)狀調研、差距分析、體系建設、報告與報表等功能模塊,提供數(shù)據信息管理、表單方案報告自動生成和數(shù)據匯總分析支撐。產品特點:*為信息系統(tǒng)等級保護建設工作提供全方位工具支撐*加強信息系統(tǒng)等級保護建設工作的規(guī)范性,降低專業(yè)難度*減少信息系統(tǒng)強等級保護建設工作的工作量*將信息系統(tǒng)強等級保護建設工作過程、管理、工具一體化*以等級保護知識庫為現(xiàn)狀調研、差距分析、體系建設的核心基礎給用戶帶來的收益:*幫助企業(yè)在等級保護項目建設中降低管理成本,提高管理效率,增進管理效果3、合規(guī)管理系統(tǒng)——ISO27000有條不紊,讓ISO27000合規(guī)不再無序產品簡介:合規(guī)管理系統(tǒng)-ISO27000是谷安天下根據國際標準ISO27000而研發(fā)的管理系統(tǒng)軟件,專為信息安全管理體系的建設和認證過程的管理提供信息化工具和知識支持。該軟件平臺滿足:*GB/T20984-《信息安全技術信息安全風險評估規(guī)范》*GB/T18336—《信息安全技術信息技術安全性評估準則》*GB/T19715.1-《信息技術信息技術安全管理指南》*NISTSP800-26《信息技術系統(tǒng)安全自評估指南》*NISTSP800-30《信息技術系統(tǒng)風險管理指南》*IDTISO/IEC27001:《信息技術安全技術信息安全管理體系要求》*IDTISO/IEC27002:《信息技術安全技術信息安全管理實用細則》系統(tǒng)根據信息安全管理體系建設流程,包括:基本信息、差距評估、風險評估、整改追蹤、ISMS內審、ISMS文件管理、報告與報表等功能模塊以及ISMS知識庫,支持組織開展信息安全管理體系合規(guī)工作流程。系統(tǒng)提供數(shù)據信息管理、表單方案報告自動生成和數(shù)據匯總分析支撐。產品特點:*為信息安全管理體系建設工作提供全方位工具支撐*加強信息安全管理體系建設工作的規(guī)范性,降低專業(yè)難度*減少信息安全管理體系建設工作的工作量*將信息安全管理體系建設工作過程、管理、工具一體化*以ISMS知識庫為差距評估、風險評估、體系建設、體系文檔的編寫提供知識基礎給用戶帶來的收益:*幫助企業(yè)在信息安全管理體系建設中降低管理成本,提高管理效率,增進管理效果4、信息安全管理平臺國內首創(chuàng),治理-風險-合規(guī)類平臺產品(GRC)產品簡介:谷安天下提供的信息安全管控工作平臺是一款幫助企業(yè)建立、發(fā)布、執(zhí)行與審核信息安全工作的平臺工具,能夠有效促進企業(yè)信息安全體系的建設與落地執(zhí)行。該解決方案能夠使組織采用信息化和自動化的方法在全組織范圍內開發(fā)、維護和檢查安全工作和安全管控措施的執(zhí)行狀況。G(治理)信息安全管控工作平臺支持信息安全管理工作的計劃-執(zhí)行-檢查-改進(PDCA)四個階段的工作過程:在計劃階段,系統(tǒng)幫助管理部門建立安全管控體系,經過5P法(人員-規(guī)章制度-實施流程-產品工具-執(zhí)行記錄)規(guī)劃具體安全工作,落實到各個部門;在運行階段:系統(tǒng)支持安全管控體系的運行,下發(fā)安全工作到各個部門并確認,定期/不定期發(fā)起安全工作自評估工作;在檢查階段,系統(tǒng)支持開展安全檢查工作,系統(tǒng)提供檢查單,檢查輔助等功能,來檢驗安全管控體系的落實情況;在改進階段,針對自評估、安全檢查、風險控制等發(fā)現(xiàn)的問題都要進行跟蹤,確保整改得以落實,同時針對整改完成后及時反饋至安全管控體系,這樣形成閉環(huán)管理,并始終在改進同一個安全管控體系。R(風險)信息安全管控平臺在風險管理方面經過風險環(huán)境定義,風險識別與評價,整改跟蹤,風險監(jiān)控四個功能,來識別、管理、控制、監(jiān)控企業(yè)內的風險,形成了風險管理閉環(huán)。C(合規(guī))信息安全管控平臺在合規(guī)管理方面經過建立相關法律法規(guī)、行業(yè)要求、行業(yè)規(guī)范與組織安全管控體系之間的映射,實現(xiàn)動態(tài)合規(guī),動態(tài)生成合規(guī)視圖。產品功能視圖:產品特點:*為安全管理工作的各個角色設計了不同的功能和使用界面,使客戶在組織結構上自上到下實現(xiàn)安全管控體系的落地;*集成協(xié)作和工作流引擎能夠在可控的條件下實現(xiàn)安全管控體系的實施和落地,;*內置強大復雜的知識庫,安全管控體系最佳實踐庫,自動映射的合規(guī)庫,安全檢查知識庫等;*強大的分析和報告與圖形儀表板,對每項安全工作進行全程跟蹤管理,讓管理人員經過系統(tǒng)的完全可視性,實現(xiàn)治理、風險與合規(guī)的全面掌控。給客戶帶來的價值:*幫助組織快速建立管控體系*推動管控體系落地,實現(xiàn)P-D-C-A改進過程*規(guī)范安全檢查/審計工作*動態(tài)合規(guī),極大簡化管理者和執(zhí)行者工作*有效管理和監(jiān)控風險第十四章解決方案1、金融行業(yè)解決方案銀行方案背景:當前,銀行監(jiān)管部門對IT風險監(jiān)管的要求越來越高。在銀行的企業(yè)風險管理中,銀行三大風險分別為信用風險、市場風險和操作風險,當前IT風險已經成為操作風險的重要組成部分,監(jiān)管部門針對銀行IT風險近年來出臺了多個的監(jiān)管規(guī)范。3月銀監(jiān)會發(fā)布新版《商業(yè)銀行信息系統(tǒng)風險管理指引》,系統(tǒng)地對銀行IT風險的控制提出了基本要求,涉及信息科技管理的各個業(yè)務領域,重點提出了IT治理機制、IT風險管理的制度與流程、IT運維、應用開發(fā)、IT審計、客戶數(shù)據保護方面的管控要求,能夠有效地指導商業(yè)銀行系統(tǒng)地對IT風險進行管理。銀監(jiān)會還將正式發(fā)布《商業(yè)銀行信息科技治理建設指導意見》、《業(yè)務連續(xù)性監(jiān)管指引》、《外包監(jiān)管指引》等專項指引,以指導商業(yè)銀行全方位推進IT風險管理工作。近年來,人民銀行陸續(xù)發(fā)布了《銀行信息系統(tǒng)信息安全等級保護實施指引》、《銀行信息系統(tǒng)信息安全等級保護測評指南》等,對商業(yè)銀行的信息安全提出的明確的要求。另外,根據監(jiān)管部門的規(guī)劃,銀行IT風險年度評級要納入銀行整體評級之中,銀監(jiān)會在十二五規(guī)劃中還提出了”科技引領業(yè)務發(fā)展”的要求,包括IT風險在內的銀行操作風險將變得和信用風險、市場風險一樣重要,IT風險管理將得到銀行高級管理層的真正重視?？紤]到國內銀行IT管理的成熟度普遍較低,因此,在未來8~內,國內銀行界將掀起轟轟烈烈的IT風險管理熱潮。方案內容:因此,在銀行業(yè)信息科技風險體系建設時,要考慮到設計與建立適宜的科技風險管理體系與有效的IT內控制與信息安全控制機制,建立與巴塞爾新資本協(xié)議所要求的操作風險的接口,同時探索建立與信息科技風險相關的操作風險評估的實現(xiàn)方法。證券方案背景:隨著證券行業(yè)與業(yè)務的發(fā)展,業(yè)務資料的機密性、完整性及可用性對證券公司越來越重要。用戶網上交易量的巨增,跨行業(yè)、跨市場、跨境大量業(yè)務的出現(xiàn),需要更多地使用互聯(lián)網進行在線交易和數(shù)據交換,因而,證券機構由于安全隔離不充分而面臨的外部入侵風險將越來越大。一旦由于內部疏忽和外部入侵造成了業(yè)務敏感信息泄露,不但造成證券公司的重大經濟損失,而且對公司的聲譽造成了極大的負面影響,這是證券公司當前普通面臨的嚴峻挑戰(zhàn)。另一方面,為了保障證券期貨信息系統(tǒng)安全運行,加強證券期貨業(yè)信息安全管理工作,促進證券期貨市場穩(wěn)定健康發(fā)展,保護投資者合法權益,證監(jiān)會根據《證券法》、《證券投資基金法》、《期貨交易管理條例》及信息安全保障相關的法律、行政法規(guī),制定并發(fā)布了《證券期貨業(yè)信息安全保障管理辦法(征求意見稿)》。因此建立一整套適合證券行業(yè)的信息系統(tǒng)安全體系,并能夠切實可行地貫徹在證券行業(yè)IT相關工作的各個環(huán)節(jié),成為信息安全建設的戰(zhàn)略目標。保險方案背景:現(xiàn)代保險業(yè)的運轉對信息化的依賴程度與日俱增,信息化不再只是一種輔助的手段,而是已成為保險機構的大動脈,一旦斷裂,不但使保險機構遭受巨額經濟損失,降低企業(yè)自身的聲譽,而且將不可避免地對整個保險業(yè)的發(fā)展帶來信任危機。隨著中國保險業(yè)快速發(fā)展,保險公司信息化建設的需求和實踐更加深入。因此,加強對保險業(yè)的信息安全建設,是保障保險業(yè)安全、穩(wěn)健發(fā)展的現(xiàn)實需要。保險業(yè)是信息密集型行業(yè),保險信息系統(tǒng)作為國家重要信息系統(tǒng)之一,其信息安全和網絡安全面臨著嚴峻的考驗。一旦信息安全受到損害,將嚴重擾亂國家經濟秩序,威脅國家金融安全,而且由于保戶數(shù)量巨大,將不可避免地損害廣大被保險人的切身利益。當前,各保險機構對于信息安全問題都給予重視和投入,并建立了信息安全管理辦法。但由于各保險機構在規(guī)模實力、信息技術力量方面有很大差別,信息安全管理水平參差不齊,各保險機構的信息安全建設狀況差別較大。缺乏統(tǒng)一規(guī)范和指導,保險業(yè)信息安全管理的整體水平有待提高。2、通信行業(yè)解決方案方案背景:在電信運營市場競爭日趨激烈,通信技術不斷更新發(fā)展,客戶及市場日漸成熟的新形式下,中國移動、中國電信、中國聯(lián)通均提出了加強企業(yè)信息化安全的總體目標,狠抓企業(yè)內部的信息安全建設,實現(xiàn)”以業(yè)務為導向、以客戶為中心、以安全為保障”的服務模式。網絡與信息安全保障體系建設是一個長期的建設和改進過程,也需要有一定的衡量指標來度量網絡與信息安全保障體系建設是否達到一定的水平,并以此作為改進的機會和方向。我們結合運營商行業(yè)集團要求、國內外標準及業(yè)界最佳安全實踐為運營商量身定制了信息安全解決方案。3、央企解決方案方案背景:當前國有中央企業(yè)信息化建設逐步完善,ERP、財務、預算、資金、決策支持、OA等各類主線業(yè)務系統(tǒng)陸續(xù)上線運行,對央企IT基礎設施以及信息系統(tǒng)的支撐能力提出了更高的要求,也日益暴露出潛在的信息安全風險和隱患,需要從權威性、專業(yè)性和全面性出發(fā),分析梳理信息安全現(xiàn)狀,對存在的各類風險和隱患進行科學評估,并制定后續(xù)整改方案。 同時,國資委對中央企業(yè)的信息化水平評價指標中,信息安全、IT服務、IT審計都是重要的指標項。近年來,國資委對信息安全管理、商業(yè)秘密保護、企業(yè)內部控制等都提出了明確的監(jiān)管要求。4、開發(fā)安全解決方案軟件開發(fā)安全方案背景:應用軟件占據了所有漏洞的92%”–NIST”在過去中,那些重要應用軟件的缺陷每年增長43%”–CERT”75%的黑客攻擊發(fā)生在應用軟件層面”–Gartner”對Internet系統(tǒng)的攻擊每隔39秒發(fā)生一次”–UniversityofMaryland以上這些權威數(shù)字清晰表明兩方面的結論:應用軟件在漏洞比例中占據了絕正確比重,而且呈現(xiàn)快速增長趨勢應用軟件已經成為黑客攻擊的主要目標近年來,國內外發(fā)生了許多由系統(tǒng)缺陷引發(fā)的重大信息安全事件層出不窮,讓我們不得不正視應用安全問題。這些信息安全事件不但給相關公司在市場上造成了重大不良影響,事后的聲譽彌補和系統(tǒng)修復花費了大量的人力,物力和財力。那么是否存在一種方法對這種情況進行改觀呢?它既能大量減少花費,又能在系統(tǒng)生產階段規(guī)避或大量減少這些信息安全事件.事實上,業(yè)界給出了一致的答案--安全開發(fā)。安全開發(fā)是由微軟、思科等軟件業(yè)巨頭在實踐中總結提煉而出,是一種系統(tǒng)化的,成效卓著的應用安全解決方案,她將一系列的安全活動、安全管理實踐和安全開發(fā)工具系統(tǒng)化的結合在一起,將應用軟件中主要的安全漏洞在開發(fā)階段予以解決。軟件開發(fā)中的安全問題人員的問題:絕大多數(shù)的開發(fā)人員不具備安全需求分析,安全架構設計,安全編碼和安全測試的能力,安全意識亦十分淡薄。管理的問題:大多數(shù)的應用開發(fā)過程缺少安全關注,沒有相應環(huán)節(jié)對安全問題進行研究和評審把關,忽視安全過程管理。工具的問題:大多數(shù)的公司在開發(fā)過程中,沒有使用相應安全工具,如威脅建模工具,代碼自動化掃描工具等,無法有效發(fā)現(xiàn)和解決安全漏洞。在一些擁有安全開發(fā)工具的公司,其使用效率和有效性低下,亟待提高。GooAnn軟件開發(fā)安全解決方案:SDL開發(fā)安全咨詢SDL開發(fā)安全咨詢重點參考了微軟SDL相關推薦文檔和《GB/T20274信息安全技術信息系統(tǒng)安全保障評估框架》,為客戶建立全面的信息系統(tǒng)生命周期安全保障體系框架?？蚣軐⒖紤]到各種信息系統(tǒng)的獲取方式以及客戶內部的組織機構特點,能夠進行多種定制,具有高度的適應性。實施保障體系能夠為客戶明確信息系統(tǒng)生命周期各階段的各種安全保障流程,方法,活動,以及實施這些流程,方法,活動的組織機構建設和責任劃分。源碼安全測試服務源碼安全測試發(fā)現(xiàn)代碼構造期間引入實現(xiàn)級別的安全漏洞,并為這些編碼錯誤建議補救措施。代碼審查對現(xiàn)有代碼庫進行分析,并對導致安全漏洞的代碼構造進行定位。我們的專業(yè)安全團隊將靜態(tài)分析工具和"眼睛"手動審查相結合來盡可能揭示所有的可能存在的漏洞。源碼測試能夠在以C,C++,C#,VB,VB.Net,Java,ABAP語言以及包括Ruby,PHP,AJAX,和Perl在內的各種Web技術編寫的應用程序下運行。代碼審查的結果應以一份詳細報告表現(xiàn)出來,概述代碼問題,并提出提高安全性的修復方案。從而使開發(fā)團隊能夠更好地了解代