安全服務

一、 為什么要進行信息安全咨詢？

國內企事業單位信息化及網絡安全管理部門，往往將主要工作專注于單位內部各種應用系統的信息化建設和網絡安全管理工作，而沒有足夠的時間和精力深入的研究更廣泛的網絡網絡安全法律法規和政策制度、網絡安全趨勢、網絡安全技術、網絡安全應用。為了更好的因地制宜的應用網絡安全成果、與時俱進的提高網絡安全保障水平，需要常態化的與專業的安全服務公司合作，在網絡安全體系建設、網絡安全規劃、網絡安全風險評估、安全開發與建設、安全運行、等級保護建設、密碼測評、以及網絡安全技術及趨勢等方面進行體系化的交流和學習，以幫助單位信息化及網絡安全部門全面的了解網絡安全的態勢、保障各項應用系統安全、穩定、高效的運行。

?

二、網絡安全等級保護咨詢

網絡安全等級保護制度，是《中華人民共和國網絡安全法》的基本規定，是國家網絡安全的基本國策，能夠為企事業單位提供一套完整的網絡安全保障基線，是國家標準。網絡安全等級保護工作主要包括系統的定級、備案、等級測評等。信息系統的網絡安全保護等級一旦確定，就需要按照相應級別的保護要求進行設計、建設、實施、部署和測評，以達到網絡安全等級保護的要求。

等級保護咨詢服務將面向企業客戶提供定級評估、方案設計評審、安全措施差距分析、系統測評等工作，幫助企業高效、快捷的落實等級保護各項工作，提升企事業單位網絡安全保障水平。

?

三、商用密碼應用與安全性評估咨詢

隨著《中華人民共和國密碼法》、《GB/T 39876-2021信息安全技術 信息系統密碼應用基本要求》實施，從國家安全的角度，對密碼應用提出了更高、更嚴格的要求。在信息系統建設的過程中，如何滿足國家法律法規要求、如何用對密碼、如何用好密碼等問題，將擺在企事業單位信息化和網絡安全部門面前。

商用密碼應用與安全性評估咨詢將面向企業用戶提供在信息系統設計、建設、測試、運行過程中有關密碼應用需求分析、密碼應用設計、建設方案及實現、密碼測試、運行規范等相關咨詢服務工作，協助企事業單位用戶用對密碼、用好密碼，滿足國家監管要求。

四、您可以獲得哪些收益？

1、滿足國家和上級主管部門的網絡安全監管要求；

2、獲得有國家認可等級的網絡安全保障體系；

3、有利于突出重點，加強網絡安全建設和管理；

4、降低網絡安全監管合規成本。

一、為什么要進行信息安全規劃？

網絡安全工作不是一蹴而就的事情，而是體系化的工作，包括多個體系、多個系統，涉及到信息化的方方面面。在網絡安全建設中，需要全面參照網絡安全相關標準和最佳實踐，在網絡安全管理、網絡安全技術兩個方面，進行全面的體系化的規劃，并遵循PDCA原則，不斷提高、不斷優化、不斷完善，同時應當進行分析預判，并在規劃設計中落實。

在網絡安全規劃工作中，網絡安全的體系建設是重中之重，為有效組織網絡安全工作，需要從人、制度、技術和運行四個層面，構建網絡安全組織體系、網絡安全制度體系、網絡安全技術體系、網絡安全運行體系，以保障網絡安全工作高效、有序的進行。

網絡安全與信息化是一體之兩翼、驅動之雙輪，信息化的不斷建設，必將要求網絡安全的不斷提升，階段性建設和投資也是網絡安全規劃設計的重要內容。

網絡安全建設是一個動態的長期的過程，為有效組織網絡安全建設，需要制定高瞻遠矚、切實可行的規劃。

二、信息安全規劃方法及內容

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

三、您可以獲得哪些收益？

1、獲得符合自身業務特點的、指導網絡安全工作的詳細設計；

2、獲得符合自身網絡安全體系的參照規范；

3、獲得符合自身網絡安全階段性要求的建設框架和內容；

4、獲得符合自身網絡安全動態變化的階段性規劃。

一、為什么要進行信息安全風險評估？

信息安全事件不可能完全避免，所以保障企業信息安全必須從風險管理的角度出發，控制、緩解和規避風險, 在信息安全和業務發展間找到平衡點。

當前信息系統的安全狀況如何？當前信息系統的安全威脅有哪些？安全風險可能導致的損失是多少？在現有有限的安全投資如何抓住重點，是絕大多數企業都會面臨的困擾。

信息安全風險評估是信息安全工作的重要工作環節，是信息安全保障體系建立過程中重要的評價方法和決策機制。隨著信息安全形勢日益嚴峻，以及國家有關信息安全的法律法規陸續出臺，對信息安全工作的要求也越來越嚴格。信息安全風險評估，是了解、掌握信息系統安全現狀，明確信息系統安全需求，貫徹落實各項信息安全管理制度、滿足國家監管要求的重要手段。

二、信息安全風險評估的時機

1、IT系統及安全建設規劃；

2、系統發生重大變更；

3、發生重大安全事件；

4、法律法規合規性要求。

三、信息安全風險評估依據

1、GB/Z 24364-2009《信息安全技術 信息安全風險管理指南》

2、GB/T 20984-2007《 信息安全技術 信息安全風險評估規范》

3、GB/T 18336-2008《信息技術 安全技術 信息技術安全性評估準則 》

4、ISO/IEC 27005:2008《信息技術–安全技術–信息安全風險管理》

5、NIST SP800-30《IT系統風險管理指南》

四、信息安全風險評估方法

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

五、您可以獲得哪些收益？

1、全面了解組織或系統的安全現狀；

2、全面掌握系統面臨的安全威脅和存在的脆弱性；

3、科學評價系統面臨的各類風險評價；

4、確定組織或系統的安全需求；

5、為制定安全管理、技術措施提供依據；

6、制定落實防范措施及時有效抵御安全風險；

7、落實各種法律法規監管要求。

一、為什么要進行安全運維？

在信息系統的生命周期中，系統運行階段占有絕對的比重。而對信息系統來說，信息系統運行階段將是安全目標、安全功能、系統安全保障得以實現的重要階段。同時，在信息系統的運行過程中，還會不斷出現新的安全隱患、安全威脅，也為信息系統安全運行帶來嚴峻的挑戰。

安全運維，將在信息系統運行階段發揮重要的作用，保證安全的設計得以落實、安全制度得以執行、安全目標得以實現。在安全運維工作中，我們將為用戶完成有針對性的安全巡檢、規范化的安全變更、符合規范的安全事件處理和應急響應、定期的安全漏洞檢查和滲透測試、程序化的上線安全檢查和原代碼檢查、以及重要時期保障和攻防演練等項工作，加強安全運行維護管理工作，不斷優化、豐富安全運維防護措施，防止信息泄漏和丟失，降低安全風險，保障信息系統在運行階段的安全。

二、安全運維服務目標

三、安全運維服務方法

四、您可以獲得哪些收益？

1、從開發規劃、總體設計、代碼開發、系統測試、上線運行等方面保障應用系統的橫向安全；

2、從網絡、操作系統、數據庫等方面保障應用系統的縱向安全；

3、降低信息系統的安全風險，減少因遭受攻擊而造成的損失；

4、提高信息系統的防范能力，保障其安全、完整、穩定運行。

一、為什么要進行安全培訓？

網絡安全知識、技能和安全意識的培訓，是企事業單位網絡安全管理中一項很重要的內容，其實施力度，將直接關系到企業安全策略被理解的程度和被執行的效果。實際上，安全培訓應該是多層次多方面的，企事業單位應該建立完整的安全培訓體系，并制定周密的安全培訓計劃，以此推動全員網絡安全保障綜合能力的持續提升。

二、培訓內容

1、信息安全意識培訓

2、信息安全管理體系培訓

3、信息安全技術體系培訓

4、信息安全運行體系培訓

5、信息安全產品及操作培訓；

6、信息安全基礎知識培訓；

7、信息安全攻防技術培訓；

8、信息安全法律法規培訓。

?

三、您可以獲得哪些收益？

1、管理層：掌握網絡安全整體目標、體系構成、機構建立和制度制訂；

2、技術層：掌握網絡安全管理策略、安全評估基本方法，對安全操作和維護技術進行合理運用；

3、用戶層：掌握網絡安全操作規程、了解相關安全策略及安全職責；

4、員工層：提高安全意識和基本技術技能。