安全咨询服务是以管理咨询、风险评估、以及架构设计(方案)为主的服务活动。包括:等级保护咨询服务、风险评估服务、信息安全管理体系建设ISMS、安全架构设计服务,下面详细进行介绍。
一、等保咨询
1、为什么选择等级保护咨询?
- 为组织提供一套符合国家标准的、完善的保障基线;
- 为组织提供信息安全不同层级的安全建设,并且使建设过程有迹可循;
- 提高组织内部人员的安全意识,确保突出重点保护对象,并进行适度保护 。
2、等级保护内容
|
安全要求类 |
层面 |
一级 |
二级 |
三级 |
四级 |
|
技术要求 |
物理安全 |
9 |
19 |
32 |
33 |
|
网络安全 |
9 |
18 |
33 |
32 |
|
|
主机安全 |
6 |
19 |
32 |
36 |
|
|
应用安全 |
7 |
19 |
31 |
36 |
|
|
数据安全及备份恢复 |
2 |
4 |
8 |
11 |
|
|
管理要求 |
安全管理制度 |
3 |
7 |
11 |
14 |
|
安全管理机构 |
4 |
9 |
20 |
20 |
|
|
人员安全管理 |
7 |
11 |
16 |
18 |
|
|
系统建设管理 |
20 |
28 |
45 |
48 |
|
|
系统运维管理 |
18 |
41 |
62 |
70 |
|
|
合计 |
/ |
85 |
175 |
290 |
318 |
|
级差 |
/ |
/ |
90 |
115 |
28 |
3、等级保护咨询的方法
4、等级保护咨询的意义
通过等级保护咨询服务可以了解等级保护测评的流程,为本组织信息系统准确定级,了解本组织信息系统与等级保护要求之间的差距,对所存在的问题有针对性的进行整改,使信息系统满足等级保护要求,顺利通过等级保护测评。
二、风险评估
1、为什么要开展风险评估?
全面、准确的了解组织机构的信息系统安全现状,发现系统的安全隐患及评估其可能造成的危害,分析系统安全需求,为解决方案的制订提供依据。
2、风险评估内容
3、风险评估方法
4、风险评估的意义
风险评估是加强信息安全保障体系建设的关键环节,是实施风险管理的起点和基础。通过风险识别和量化分析,并针对相应风险所可能采取的控制措施进行成本与效益分析,可以清楚认识到对风险点实施控制的必要性和迫切性,从而为制定安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了参考依据。
三、信息安全管理体系建设ISMS
1、为什么选择信息安全管理体系咨询?
- 可以达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式;
- 打造一支信息安全队伍;
- 摸清信息资产家底;
- 提高整体人员的安全意识
- 保证业务安全;
- 提高业务活动中的信誉;
- 保证可持续发展;
- 符合法律法规的要求。
2、信息安全管理体系咨询服务内容
3、信息安全管理体系咨询服务方法
4、信息安全管理体系咨询服务意义
- 利用最佳实践的标准架构,获得最佳的信息安全运行方式
- 采用系统方法,确保万无一失
- 全面识别信息资产,保护重点信息资产
- 基于风险管理,投入有的放矢
- 制定策略降低风险、预防为主、避免损失
- 控制核心信息安全,保持核心竞争优势
- 获得认证,提高业务活动中的信誉
- 增强相关方信心,提升组织价值,树立组织形象
- 系统识别法律法规要求,避免法律风险
四、代码安全审计
1、代码安全审计目的
应用系统开发商在开发过程中更多的是关注系统功能的实现,而对软件程序代码本身的安全问题缺乏相应的关注,这些不安全的代码编制存留在应用系统中,成为一个“隐形炸弹”,随时可以被恶意人员利用和攻击,代码安全审计的目的就是为了发现这些“隐形炸弹”。发现这些“隐形炸弹”并让开发商进行清除成为所有组织机构在信息系统建设及运维过程中迫切需要进行的工作。
2、代码安全审计步骤
在组织机构中要开展信息系统的代码工作,首先需要配合代码安全审计人员进行信息系统的信息收集,调查系统的基本信息、系统开发环境、数据库信息;第二步是在组织机构内或者我方攻防实验室搭建系统开发环境,搭建系统开发环境是为了全面整体分析代码的安全;第三步,运用专业的工具结合代码安全审计人员自身的经验进行逐行的代码分析;第四步,对测试结果进行分析并总结。具体步骤如下图所示。
