《《精编》信息安全管理体系解决方案》由会员分享,可在线阅读,更多相关《《精编》信息安全管理体系解决方案(29页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系解决方案 目录信息安全管理体系解决方案1第一章 安全风险评估服务3第二章 安全管理体系咨询4第三章 应用系统安全评估5第四章 敏感信息保护咨询6第五章 业务连续性咨询8第六章 IT审计服务8第七章 SDL开发安全咨询9第八章 ISO27001认证咨询11第九章 等级保护体系咨询13第十章 ISO20000认证咨询14第十一章 IT服务管理产品实施15第十二章 信息安全管理体系咨询17第十三章 技术方案191、信息安全风险管理系统192、合规管理系统等级保护203、合规管理系统ISO27000224、信息安全管理平台23第十四章 解决方案251、金融行业解决方案252、通信行业解
2、决方案273、央企解决方案274、开发安全解决方案275、大型企业解决方案31第一章 安全风险评估服务GooAnn 基于国际信息安全体系进行信息安全风险评估服务,协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。在企业实施信息安全管理之前的风险评估服务,可以帮助企业认识现状与信息安全标准及规范要求的差距,并可以协助客户制订改进规划。在需要时进一步提供信息安全保障体系或管理体系的咨询服务。价值提升:基于以上核心优势,GooAnn 的风险评估服务为客户提供额外的附加价值,包括:u 基于行业风险知识库,评估的风险更加充分并具有针对性;u 基于全方位的风险评
3、估,为客户识别IT组织规划、业务流程、信息系统及信息资产面对的IT风险;u 结合管理与技术的风险评估结果,能够帮助客户更加有效地识别安全隐患,风险评估结论可以用于建立管理制度,并通过建立针对于技术评估发现的技术风险的控制措施,真正将风险处理落到实处;u GooAnn 不但能够在风险评估中帮助客户发现问题,并且通过全面IT服务能力帮助客户真正解决涵盖IT治理、IT服务管理及信息安全方面的问题。为什么选择我们:u GooAnn 的风险评估服务具有不同于别家的特性和优势,以区隔通常的信息安全评估服务:u 基于不同行业,建立有基于GooAnn 自主知识产权的 IT风险管理软件的行业风险知识库;uGoo
4、Ann 的咨询服务涵盖IT内控、IT规划、软件开发、IT服务管理及信息安全。因此评估过程中,基于自身的综合IT管理咨询经验,能够更加充分有效地评估在组织结构、业务流程及信息资产等方面的信息安全风险,提供全方位立体的结论;uGooAnn 具有全面强大的后续服务能力,基于评估发现的风险,GooAnn 可以提供IT规划、IT服务管理、软件开发及信息安全管理体系建设服务。第二章 安全管理体系咨询GooAnn 依据信息安全相关国际标准,提供信息安全保障体系与信息安全管理体系(ISMS) 咨询和实施服务,从管理、技术、人员、过程的角度来定义、建立、实施信息安全体系,保障组织的信息安全 “ 滴水不漏 ”,确
5、保组织业务的持续运营,维护企业的竞争优势。价值提升:u通过建立信息安全管理体系,明确安全管理对于业务促进的重要作用,使安全风险和责任意识从传统的IT部门扩展到企业每个员工,提高了安全管理的整体效率;u通过PDCA过程方法和相应的组织保障体系,使企业安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态;通过完善各类安全管理制度,使企业具有处理突发事件的能力,在制度上和管理上保证企业核心业务的可持续运行。u通过建立统一的信息安全策略指导各业务部门在处理业务敏感信息方面的行为,防止机密信息泄露;为业务系统的设计、开发和运行维护方面提供统一的安全规则。u信息安全管
6、理体系(ISMS)体系的实施,不仅能改善企业的安全风险水平,而且能让企业拥有可控的风险管理架构、方法和保障落实机制。正是因为拥有这套机制,才确保企业在不断变化的安全风险环境中,始终能够通过科学的方法和持续的改进,达到管理者可接受的安全风险水平。为什么选择我们:uGooAnn 由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、ITIL实施证书、CISA、CISM等。uGooAnn 顾问团队很好地把信息安全领域的专业技术及实践经验与以业务为驱动的管理咨询方法及体系实
7、施特点有机结合在一起,即能够深入到细节,又能够站在高层次上全面而系统地看待问题。u顾问式培训贯穿项目实施全过程。uGooAnn 与国内外的信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn 也担任国内多家著名安全公司的安全管理咨询指导工作。u是国内大型企业实施案例最多的咨询公司。我们的承诺:uGooAnn 参照信息安全管理体系相关国际标准,建立内部信息安全管理体系。顾问必须遵守GooAnn 顾问职业道德规范保守客户商业机密。 u帮助客户建立一套能够完全符合企业实际需求的信息安全管理体系,培养企业内部信息安全人员及内部顾问,企业不会因为顾问结束服务
8、后而不知如何实施与维护。第三章 应用系统安全评估应用系统安全评估:从系统研发、身份鉴别、访问控制、流程安全、异常处理、备份与故障恢复、密码安全、输入输出合法性、安全审计、数据安全性十个方面评价应用系统的整体安全,发现应用程序在设计、运营和管理方面存在的安全风险,并提供具体的修改意见,确保应用系统自身的安全。业务流程安全评估:从企业的业务层面来看,信息安全应当不仅仅是信息资产本身是否安全可靠,还要关注资产在其所运行的环境和经历的流程中保证安全,IT资产可能经历的流程有需要IT支撑的业务流程(如:跨部门业务处理流程),支撑业务过程的IT流程(即纵向IT过程,如:软件开发、测试和上线流程)。也有支撑
9、IT本身的绩效及安全的IT流程(即横向IT过程,如变更管理过程)。通过风险评估,分析其可能存在的风险和对业务影响,提出了有针对性的风险处置办法,建立适用的IT流程控制目标,及这些控制目标对应的控制实施、控制原因及绩效属性,以便于对风险的精细化管理。价值提升:提高应用系统的安全性和稳定性,防止业务数据的丢失。规范客户的业务流程,优化客户的业务结构,有效提升客户的业务效率和降低客户的运营成本。核心优势:国内首家开展面向业务层面安全保障的服务商,成熟的方法论和多个典型的具有代表性的案例。第四章 敏感信息保护咨询GooAnn敏感信息保护咨询,是在数据信息生命周期的各个环节,针对各类结构化、半结构化及非
10、结构化的敏感数据,分析是否在数据获取、数据存储、数据使用、数据共享、数据归档、数据销毁过程中,可能由于技术缺陷、管理不到位、安全意识薄弱等原因,造成敏感数据泄漏事件的发生。价值提升:u通过实施敏感信息保护咨询,可以根据存在的敏感信息保护风险,从策略管理与技术控制两个层面进行管控。u全面分析信息泄露途径,实施各种安全控制措施,从而达到早预防早控制的效果。u高度的适应性,可以根据客户的信息系统获取方式进行定制。uGooAnn简化安全管理。明确敏感信息防护的部门和角色来执行,分工明确,责任落实,便于量化考核。为什么选择GooAnn:uGooAnn由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备
11、扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、ITIL实施证书、CISA、CISM等。uGooAnn顾问团队均具备十多年的安全经验,具备丰富的经验,既能够深入到细节,又能够站在高层次上全面而系统地看待问题。u顾问式培训贯穿项目实施全过程。uGooAnn 与国内外的相关信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn 也担任国内多家著名安全公司的安全管理咨询指导工作。u是国内大型企业实施敏感数据保护案例最多的咨询公司。第五章 业务连续性咨询GooAnn 基于BS
12、25999及BCI (Business Continuity Institute) Business Continuity Guide提供业务连续性管理咨询服务。内容包括日常运作流程设计、危机管理和大型灾害的应对计划和策略,业务持续性管理团队建设和咨询等诸多方面的服务,可以帮助客户从技术、流程、人员三方面提高业务持续能力,保证企业的正常运作和发展,不仅仅包括灾难恢复、危机管理、风险管理,也不仅仅是一个IT问题,而是企业整体运营战略的一部分。它的建立包括重新审视企业的组织结构操作流程,发现其中不能适应意外风险和灾难的弱点,通过改进和提高这些结构和流程来避免企业业务运行的中断和丢失。通过对企业业务
13、的深入评估,GooAnn与客户高层一起进行业务影响分析,并通过业务需求与客户一起识别业务连续性目标,诸如MTO (Maximum Tolerable Outage ) 、RTO (Recovery Time Objectives)以及RPO(Recovery Point Objectives)等关键指标。在业务连续性风险评估后,与客户一起建立业务连续性计划,并指导进行演练,最终协助客户建立业务连续性管理体系。价值提升:GooAnn与金融系统灾备中心建立有紧密合作关系。不但能够为客户提供业务连续性管理体系建设服务,并且可以与合作伙伴一起帮助客户基于业务连续性计划建立灾备中心,真正帮助客户把业务连
14、续性管理落到实处。为什么选择我们:GooAnn 拥有自己的业务连续性管理专家, 精通BS 25999标准要求,并且具有实际建立业务连续性体系的实施经验。第六章 IT审计服务IT控制审计服务的目的就是根据组织的业务需求及相关法律法规要求,在Cobit框架下,参照与IT相关的具体控制标准、指南或最佳实践,从实体、IT流程、IT资源三个层面出发,采用访谈、核查、测试等信息收集手段,分析评价IT系统及其相关业务应用是否满足相关法规制度、标准指南及最佳实践要求,并针对不符合部分提出改进建议。IT控制审计服务包括内部审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤,共分四个
15、阶段,各个阶段说明如下:为什么选择我们:uGooAnn合规部门拥有一支具有丰富的国内外IT治理、IT风险控制及信息安全咨询经验的专家顾问团队,主要由国际大型咨询顾问公司(毕马威/毕博/安永/埃森哲)及国内大型信息安全厂商公司人员组成。 u拥有国内最大的信息安全培训公司和完善的知识库体系。 u拥有自主研发的IT风险管理软件,提升项目实施效率降低了客户投入费用。u拥有众多实施案例。u国内最大的IT审计培训机构,拥有国内最强的IT审计的师资力量。第七章 SDL开发安全咨询GooAnn公司SDL开发安全咨询重点参考了微软SDL相关推荐文档1和GB/T 20274 信息安全技术 信息系统安全保障评估框架,为客户建立全面的信息系统生命周期安全保障体系框架。框架将考虑到各种信息系统的获取方式以及客户内部的组织机构特点,可以进行多种定制,具有高度的适应性。实施保障体系可以为客户明确信息系统生命周期各阶段的各种安全保障流程,方法,活动,以及实施这些流程,方法,活动的组织机构建设和责任划分。价值提升:u 通过建立SDL开发安全体系,可以为信息系统提供全生命周期安全。安全保障贯穿信息系统生命周期始终,覆盖信息系统
