服务内容

1、安全咨询服务

■ 安全评估

客户在计算机信息安全管理方面迫切需要解决的是系统内的信息及信息系统本身面临的风险是什么,各种风险有多大,只有了解了所面临的风险,才能制定解决这些风险问题的具体措施。因此在风险分析和安全评估之后,将提出客户制定安全保护策略、风险缓解计划,并添加实施细节信息,设计安全解决方案。

■ 安全规划

客户信息系统安全体系保护战略主要由“准备与防范”、“检测与响应”和“重建与恢复”三部分组成,这三部分工作要通过组织体系、技术体系、管理体系共同作用才能有效运行。故为了尽快完成现有系统的加固和规范未来系统的建设,有必要在初步规划的基础上构建包括如上各部分的安全体系规划方案,保证客户信息系统的安全、可靠运行。

■ 安全工程

信息安全工程生命周期过程分为目标确定、风险分析、需求分析、安全策略、安全体系结构、安全实施领域、安全技术与产品的测试与选型、安全工程的实施、监理、测试与运行、安全意识的教育与技术培训、安全稽核与检查,这一个过程的结束标志信息安全工程这一轮生命的终止,经过安全稽核与检查后,又形成新一轮的生命周期,整个工程体系结构是一个不断往复、不断上升的螺旋式过程。

通过安全工程体系,明确客户信息系统目前的安全等级;明确客户信息安全风险分析与控制的方法、体系、指标;明确客户不同应用(业务系统、办公系统、网上对外服务系统)的不同安全等级要求;体系方案要明确系统加固、设计、采购的安全措施等级指标,明确业务数据模式对信息系统安全的要求和影响,明确通过实施安全体系保障后信息系统达到的安全等级指标。

2、安全支持服务

■ 安全管理

建立客户信息安全机构,完善信息安全策略。根据客户业务发展目标,合理的设置信息安全部门,通过信息安全的各种角色将信息安全融入到业务环境中。

建立健全客户信息安全策略体系,主要内容包括:信息安全建设的目标和遵循的原则;信息安全系统建设所遵循的技术标准和相关规范;信息系统运行所需要的各种规范和规章制度;信息安全规章制度。

建立有高层领导负责、相关各部门负责人组成的信息安全领导协调机构,理顺关系,增进各部门间协同配合、优化资源配置、提高信息安全管理决策的效率和科学性,决策指挥信息安全重大事宜;明确办事机构,统一协调各部门的信息安全保障工作。

建立健全各级信息安全管理专门机构,在分支机构至少应设立信息安全管理岗位。要充实信息安全管理人员,进一步明确技术管理部门和运营部门的信息安全管理职责和分工,科学制定安全规划,有效组织实施安全策略,加大安全监督检查工作力度,充分发挥纵向衔接、横向协调的组织保障作用。

■ 运行维护

服务流程规范化:通过实施流程化管理,建立标准统一的服务管理流程,严格过程控制和操作规程,完善内控机制。

加强配置与变更管理:建立有效的部门间协调机制,杜绝生产变更的随意性,变更前要进行必要的风险评估,并做好应急准备,变更后及时更新资源配置数据库,并进行变更的发布,不影响业务系统正常运行。

加强问题与事件管理:建立专门的信息安全系统支持小组,通过规范化的事件管理和问题管理流程,及时解决信息系统运行中的安全问题,形成客户信息系统问题数据库,提高客户信息安全知识管理能力。

实施安全服务外包:统筹兼顾,综合考虑自我能力、价值成本和风险控制等因素,合理引入服务外包机制。

■ 应急响应

建立应急响应机制,提高安全事件响应与处理能力,加强信息安全系统的可用性,保证业务的可持续性。

定期对冗余备份系统、备份介质进行深度可用性检查。建立应急预案演练制度,定期组织有业务部门参与的桌面演练和生产系统实战演练,定期对热备系统进行切换演练。

建立统一、高效应急反应机制,总部与分支机构间建立快速、有效的沟通机制,上下互动应对危机。

建立与国家相关部门的有效沟通机制。

■ 产品测评

随着信息技术的广泛应用和迅速发展,信息安全问题涉及的领域越来越多,做好信息安全工作是保障客户业务持续健康发展的当务之急。信息安全工作是一项系统工程,需要多方面综合管理。抓好信息安全产品的质量是解决信息安全问题的一项重要措施。目前信息安全厂商数量众多,不同种类的信息安全产品层出不穷,如何科学、客观的评价信息安全产品成为困扰广大用户的难题,用户难以根据自身应用特点选择信息安全产品,由此会引发重大安全隐患,并造成投资浪费。

在此背景下,为客户提供信息安全产品横向评测服务显得尤为重要。旨在通过技术研讨和测试建立客户信息安全产品评价的指标体系,为客户规范信息安全产品提供技术支撑,为信息安全生产客户提供技术把关,为行业用户选型提供技术保障。

3、安全培训服务

■ 安全培训

帮助客户建立培训与教育机制,开展培训与教育活动。通过培养专业的信息安全人才,提高客户信息安全服务管理能力,加强对客户信息安全系统保障建设和支持能力。

通过提高客户员工信息安全意识,使客户信息安全策略得到贯彻执行,信息安全管理制度得到全面落实。

帮助客户选拔素质高、技能强、具有一定管理经验的人才从事信息安全工作,加大人才培养力度。

帮助客户建立良好的用人机制和激励机制。合理配置和使用人力资源,人尽其才,合理流动,广开人才来源。

帮助客户建立业绩评价系统,奖惩分明,通过确保重要运行岗位人员的物质待遇等多种激励手段,稳定人才、留住人才。