三零卫士

获取支持
病毒公告
漏洞公告
补丁下载
产品FAQ
解决方案及案例

钢铁冶金行业信息安全解决方案

　　信息安全风险评估服务

　　服务概述
　　三零卫士信息安全风险评估服务是一项以安全性评估和改进为目标的咨询服务。通过对客户信息系统的安全调查，识别信息系统的关键资产、面临的威胁以及存在的脆弱性，量化分析客户信息系统中存在的安全风险，为客户提供风险控制及安全性改进的建议，并协助客户实施各项风险控制措施，以管理信息系统中存在的各种安全风险。

　　服务目标
　　◆评估风险只是手段，协助客户管理信息安全风险才是我们的服务目标
　　◆细化服务内容，满足客户多方面的风险评估需求
　　◆注重客户体验，与客户共同成长

　　评估模型与方法
　　
　　0、现有信息系统分析：对现有信息系统、所处环境、管理组织、用户的安全需求进行调查分析，是分析工作的基点。
　　1、识别关键资产：根据信息系统分析的结果识别出系统的关键资产，以此为核心进行风险分析工作。
　　2、识别威胁：识别出信息系统主要的安全威胁、以及相应的威胁途径/方式。
　　3、识别脆弱点：通过测试或访谈的形式识别出系统在技术脆弱点与管理方面的薄弱环节，以及组织的事件防范能力。
　　4、分析事件影响：结合组织的安全需求，事件控制能力，信息系统结构综合分析威胁事件对信息系统可能造成的影响。

6、综合风险评估：综合关键资产、威胁因素、脆弱点及防范能力、综合事件影响评估组织面临的风险。

　　风险评估服务内容
　　● 根据客户需求不同，我们可以为客户提供多种类型的评估服务。评估内容主要包括：
　　● 设施安全性评估：对信息系统的周边环境、机房设施等进行评估诊断。
　　● 网络安全性评估：对系统所依赖的网络进行安全性评估，包括网络架构、网络设备等。
　　● 平台安全性评估：对终端或服务器平台进行安全性评估诊断，包括硬件配置、操作系统、数据库等。
　　● 数据安全性评估：对数据的完整、机密、可靠、可用等要素进行评估。
　　● 应用安全性评估：对业务应用系统的安全性进行测试和诊断，包括渗透性测试、攻击测试、源代码分析等。
　　● 安全管理评估：对系统的信息安全管理机制进行调查和评估。
　　● 综合风险评估：对设施、网络、平台、应用、管理等方面的安全性进行综合评估。

　　评估实施流程
　　前期准备阶段：
　　● 确定评估范围
　　● 成立评估项目组
　　● 召开项目启动会　　　　　　　　　　　
　　● 背景资料收集
　　● 确定评估方法
　　● 编制实施方案与计划
　　● 准备评估工具

　　现场调查阶段：
　　● 问卷调查
　　● 现场访谈
　　● 讨论会议
　　● 技术测试

　　风险分析阶段：
　　● 威胁量化
　　● 脆弱性量化
　　● 影响量化
　　● 风险分析与评价

　　安全策略阶段：
　　● 确定安全需求
　　● 确定安全目标
　　● 提出风险控制建议
　　● 协助实施风险控制措施

　　参考安全标准
　　● ISO 13335-1 《IT安全管理指南第1部分：IT安全概念和模型》
　　● ISO/IEC 17799 《信息安全管理实用规则》
　　● 信息保障技术框架——IATF
　　● 信息系统安全风险分析方法—— OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）
　　● 国家标准《信息安全风险评估指南》

　　信息安全管理体系建设（ISMS）服务

　　服务概述
　　三零服务ISMS咨询服务是根据国际标准ISO/IEC 27001:2005，为组织建立完整的信息安全管理体系，以通过ISO/IEC27001管理体系认证为目标的咨询服务。通过差距分析、风险评估、安全规划等各种手段，对组织的11个控制方面，39个控制目标和133项控制要素进行安全控制，建立完善的信息安全管理体系，对内从管理角度防止信息系统出现安全事故或事件，对外树立信息系统可靠性形象，满足顾客要求，提高企业竞争能力。

　　服务目标
　　● 建立一套完整、有效的信息安全管理体系
　　● 细化服务内容，满足客户多方面的信息安全需求
　　● 注重客户体验，与客户共同成长

　　服务内容
　　● 根据客户需求不同，我们可以为客户提供多种咨询服务。服务内容主要包括：
　　● 建立信息安全管理体系
　　● ISO/IEC27001认证咨询
　　● ISO/IEC20000认证咨询
　　● ISMS宣贯培训
　　● 风险评估、风险管理咨询
　　● ISMS文件编写咨询
　　● ISO27001与ISO20000、ISO9001整合咨询

　　体系建立模型与方法
　　

　　◆ Plan规划：根据组织业务运作的安全需求，确定信息安全管理的范围以及安全策略，建立信息安全组织结构，进行现场调查及差距分析，通过风险评估建立控制目标和方式，编写ISMS体系文件，包括必要的流程和业务持续性计划等工作。计划阶段最重要的部分是设定认证涵盖的范围及区域。
　　◆ Do实施：发布及实施ISMS。在实施阶段中三零公司要协助组织实施安全策略、控制措施、流程、规章制度，并准备适用性报告。同时也需确保所有员工都了解信息安全的重要性，且确保其接受了适当的培训，及有能力执行他们负责的安全工作。此外，还要积极协调所需的资源。
　　◆ Check检查：核查的目的是依据方针、目标和实际经验测量，对信息安全管理过程和信息系统的安全进行监控和验证，并决策者报告结果。确保控制措施都已推行，并能达到既定的目标。该阶段工作内容主要包括内部审核与管理评审。
　　◆ Act处置：需要对核查结果采取适当的行动，采取纠正和预防措施进一步提高过程业绩，以达到对ISMS的持续改进。

　　实施流程
　　

　　参考安全标准
　　参考的国际标准如下： ISO/IEC17799：2005 《信息安全管理实施规则》
　　ISO/IEC27001：2005 《信息安全管理体系要求》
　　ISO 13335-1 《IT安全管理指南第1部分：IT安全概念和模型》
　　信息保障技术框架——IATF

　　参考的国内标准如下：
　　GB/T 18336 《信息技术安全技术信息技术安全性评估准则》
　　《信息系统安全等级保护-信息系统安全管理要求（报批稿）》
　　《信息安全风险评估指南》国家标准

返回　　　　　 下一篇

安全小贴士：由于windows xp设置默认一般都不以Administrator登录， administrator这个帐号很容易被忽视，不要忘记了，这可是管理员帐号，请给它一个安全的口令。