信息安全管理體系咨詢PDCA模板

信息安全管理體系咨詢PDCA資料內(nèi)容僅供參考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系本人改正或者刪除。信息安全管理體系解決方案目錄信息安全管理體系解決方案 1第一章安全風(fēng)險(xiǎn)評(píng)估服務(wù) 3第二章安全管理體系咨詢 4第三章應(yīng)用系統(tǒng)安全評(píng)估 5第四章敏感信息保護(hù)咨詢 6第五章業(yè)務(wù)連續(xù)性咨詢 8第六章IT審計(jì)服務(wù) 8第七章SDL開發(fā)安全咨詢 9第八章ISO27001認(rèn)證咨詢 11第九章等級(jí)保護(hù)體系咨詢 13第十章ISO20000認(rèn)證咨詢 14第十一章IT服務(wù)管理產(chǎn)品實(shí)施 15第十二章信息安全管理體系咨詢 17第十三章技術(shù)方案 191、信息安全風(fēng)險(xiǎn)管理系統(tǒng) 192、合規(guī)管理系統(tǒng)——等級(jí)保護(hù) 203、合規(guī)管理系統(tǒng)——ISO27000 224、信息安全管理平臺(tái) 23第十四章解決方案 251、金融行業(yè)解決方案 252、通信行業(yè)解決方案 273、央企解決方案 274、開發(fā)安全解決方案 275、大型企業(yè)解決方案 31

第一章安全風(fēng)險(xiǎn)評(píng)估服務(wù)GooAnn基于國際信息安全體系進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估服務(wù),協(xié)助企業(yè)識(shí)別信息資產(chǎn)及業(yè)務(wù)流程的信息安全弱點(diǎn),并針對(duì)信息安全威脅提供信息安全風(fēng)險(xiǎn)處理規(guī)劃建議。在企業(yè)實(shí)施信息安全管理之前的風(fēng)險(xiǎn)評(píng)估服務(wù),能夠幫助企業(yè)認(rèn)識(shí)現(xiàn)狀與信息安全標(biāo)準(zhǔn)及規(guī)范要求的差距,并能夠協(xié)助客戶制訂改進(jìn)規(guī)劃。在需要時(shí)進(jìn)一步提供信息安全保障體系或管理體系的咨詢服務(wù)。價(jià)值提升:基于以上核心優(yōu)勢(shì),GooAnn的風(fēng)險(xiǎn)評(píng)估服務(wù)為客戶提供額外的附加價(jià)值,包括:基于行業(yè)風(fēng)險(xiǎn)知識(shí)庫,評(píng)估的風(fēng)險(xiǎn)更加充分并具有針對(duì)性;基于全方位的風(fēng)險(xiǎn)評(píng)估,為客戶識(shí)別IT組織規(guī)劃、業(yè)務(wù)流程、信息系統(tǒng)及信息資產(chǎn)面正確IT風(fēng)險(xiǎn);結(jié)合管理與技術(shù)的風(fēng)險(xiǎn)評(píng)估結(jié)果,能夠幫助客戶更加有效地識(shí)別安全隱患,風(fēng)險(xiǎn)評(píng)估結(jié)論能夠用于建立管理制度,并經(jīng)過建立針對(duì)于技術(shù)評(píng)估發(fā)現(xiàn)的技術(shù)風(fēng)險(xiǎn)的控制措施,真正將風(fēng)險(xiǎn)處理落到實(shí)處;GooAnn不但能夠在風(fēng)險(xiǎn)評(píng)估中幫助客戶發(fā)現(xiàn)問題,而且經(jīng)過全面IT服務(wù)能力幫助客戶真正解決涵蓋IT治理、IT服務(wù)管理及信息安全方面的問題。為什么選擇我們:GooAnn的風(fēng)險(xiǎn)評(píng)估服務(wù)具有不同于別家的特性和優(yōu)勢(shì),以區(qū)隔一般的信息安全評(píng)估服務(wù):基于不同行業(yè),建立有基于GooAnn自主知識(shí)產(chǎn)權(quán)的IT風(fēng)險(xiǎn)管理軟件的行業(yè)風(fēng)險(xiǎn)知識(shí)庫;GooAnn的咨詢服務(wù)涵蓋IT內(nèi)控、IT規(guī)劃、軟件開發(fā)、IT服務(wù)管理及信息安全。因此評(píng)估過程中,基于自身的綜合IT管理咨詢經(jīng)驗(yàn),能夠更加充分有效地評(píng)估在組織結(jié)構(gòu)、業(yè)務(wù)流程及信息資產(chǎn)等方面的信息安全風(fēng)險(xiǎn),提供全方位立體的結(jié)論;GooAnn具有全面強(qiáng)大的后續(xù)服務(wù)能力,基于評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn),GooAnn能夠提供IT規(guī)劃、IT服務(wù)管理、軟件開發(fā)及信息安全管理體系建設(shè)服務(wù)。第二章安全管理體系咨詢GooAnn依據(jù)信息安全相關(guān)國際標(biāo)準(zhǔn),提供信息安全保障體系與信息安全管理體系(ISMS)咨詢和實(shí)施服務(wù),從管理、技術(shù)、人員、過程的角度來定義、建立、實(shí)施信息安全體系,保障組織的信息安全”滴水不漏”,確保組織業(yè)務(wù)的持續(xù)運(yùn)營,維護(hù)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。價(jià)值提升:經(jīng)過建立信息安全管理體系,明確安全管理對(duì)于業(yè)務(wù)促進(jìn)的重要作用,使安全風(fēng)險(xiǎn)和責(zé)任意識(shí)從傳統(tǒng)的IT部門擴(kuò)展到企業(yè)每個(gè)員工,提高了安全管理的整體效率;經(jīng)過PDCA過程方法和相應(yīng)的組織保障體系,使企業(yè)安全管理從”無序、零散、被動(dòng)”的風(fēng)險(xiǎn)補(bǔ)救行為轉(zhuǎn)變?yōu)椤毕到y(tǒng)、科學(xué)、連貫、主動(dòng)”的風(fēng)險(xiǎn)駕馭狀態(tài);經(jīng)過完善各類安全管理制度,使企業(yè)具有處理突發(fā)事件的能力,在制度上和管理上保證企業(yè)核心業(yè)務(wù)的可持續(xù)運(yùn)行。經(jīng)過建立統(tǒng)一的信息安全策略指導(dǎo)各業(yè)務(wù)部門在處理業(yè)務(wù)敏感信息方面的行為,防止機(jī)密信息泄露;為業(yè)務(wù)系統(tǒng)的設(shè)計(jì)、開發(fā)和運(yùn)行維護(hù)方面提供統(tǒng)一的安全規(guī)則。信息安全管理體系(ISMS)體系的實(shí)施,不但能改進(jìn)企業(yè)的安全風(fēng)險(xiǎn)水平,而且能讓企業(yè)擁有可控的風(fēng)險(xiǎn)管理架構(gòu)、方法和保障落實(shí)機(jī)制。正是因?yàn)閾碛羞@套機(jī)制,才確保企業(yè)在不斷變化的安全風(fēng)險(xiǎn)環(huán)境中,始終能夠經(jīng)過科學(xué)的方法和持續(xù)的改進(jìn),達(dá)到管理者可接受的安全風(fēng)險(xiǎn)水平。為什么選擇我們:GooAnn由一批高素質(zhì)、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實(shí)的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn),同時(shí)具備諸多國際上最為認(rèn)可的高級(jí)資質(zhì),包括CISSP、BS7799主任審核員、ITIL實(shí)施證書、CISA、CISM等。GooAnn顧問團(tuán)隊(duì)很好地把信息安全領(lǐng)域的專業(yè)技術(shù)及實(shí)踐經(jīng)驗(yàn)與以業(yè)務(wù)為驅(qū)動(dòng)的管理咨詢方法及體系實(shí)施特點(diǎn)有機(jī)結(jié)合在一起,即能夠深入到細(xì)節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓(xùn)貫穿項(xiàng)目實(shí)施全過程。GooAnn與國內(nèi)外的信息安全產(chǎn)品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術(shù)動(dòng)態(tài)和最新的成果,同時(shí)GooAnn也擔(dān)任國內(nèi)多家著名安全公司的安全管理咨詢指導(dǎo)工作。是國內(nèi)大型企業(yè)實(shí)施案例最多的咨詢公司。我們的承諾:GooAnn參照信息安全管理體系相關(guān)國際標(biāo)準(zhǔn),建立內(nèi)部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機(jī)密。幫助客戶建立一套能夠完全符合企業(yè)實(shí)際需求的信息安全管理體系,培養(yǎng)企業(yè)內(nèi)部信息安全人員及內(nèi)部顧問,企業(yè)不會(huì)因?yàn)轭檰柦Y(jié)束服務(wù)后而不知如何實(shí)施與維護(hù)。第三章應(yīng)用系統(tǒng)安全評(píng)估應(yīng)用系統(tǒng)安全評(píng)估:從系統(tǒng)研發(fā)、身份鑒別、訪問控制、流程安全、異常處理、備份與故障恢復(fù)、密碼安全、輸入輸出合法性、安全審計(jì)、數(shù)據(jù)安全性十個(gè)方面評(píng)價(jià)應(yīng)用系統(tǒng)的整體安全,發(fā)現(xiàn)應(yīng)用程序在設(shè)計(jì)、運(yùn)營和管理方面存在的安全風(fēng)險(xiǎn),并提供具體的修改意見,確保應(yīng)用系統(tǒng)自身的安全。業(yè)務(wù)流程安全評(píng)估:從企業(yè)的業(yè)務(wù)層面來看,信息安全應(yīng)當(dāng)不但僅是信息資產(chǎn)本身是否安全可靠,還要關(guān)注資產(chǎn)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全,IT資產(chǎn)可能經(jīng)歷的流程有需要IT支撐的業(yè)務(wù)流程(如:跨部門業(yè)務(wù)處理流程),支撐業(yè)務(wù)過程的IT流程(即縱向IT過程,如:軟件開發(fā)、測(cè)試和上線流程)。也有支撐IT本身的績(jī)效及安全的IT流程(即橫向IT過程,如變更管理過程)。經(jīng)過風(fēng)險(xiǎn)評(píng)估,分析其可能存在的風(fēng)險(xiǎn)和對(duì)業(yè)務(wù)影響,提出了有針對(duì)性的風(fēng)險(xiǎn)處理辦法,建立適用的IT流程控制目標(biāo),及這些控制目標(biāo)對(duì)應(yīng)的控制實(shí)施、控制原因及績(jī)效屬性,以便于對(duì)風(fēng)險(xiǎn)的精細(xì)化管理。價(jià)值提升:提高應(yīng)用系統(tǒng)的安全性和穩(wěn)定性,防止業(yè)務(wù)數(shù)據(jù)的丟失。規(guī)范客戶的業(yè)務(wù)流程,優(yōu)化客戶的業(yè)務(wù)結(jié)構(gòu),有效提升客戶的業(yè)務(wù)效率和降低客戶的運(yùn)營成本。核心優(yōu)勢(shì):國內(nèi)首家開展面向業(yè)務(wù)層面安全保障的服務(wù)商,成熟的方法論和多個(gè)典型的具有代表性的案例。第四章敏感信息保護(hù)咨詢GooAnn敏感信息保護(hù)咨詢,是在數(shù)據(jù)信息生命周期的各個(gè)環(huán)節(jié),針對(duì)各類結(jié)構(gòu)化、半結(jié)構(gòu)化及非結(jié)構(gòu)化的敏感數(shù)據(jù),分析是否在數(shù)據(jù)獲取、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)歸檔、數(shù)據(jù)銷毀過程中,可能由于技術(shù)缺陷、管理不到位、安全意識(shí)薄弱等原因,造成敏感數(shù)據(jù)泄漏事件的發(fā)生。價(jià)值提升:經(jīng)過實(shí)施敏感信息保護(hù)咨詢,能夠根據(jù)存在的敏感信息保護(hù)風(fēng)險(xiǎn),從策略管理與技術(shù)控制兩個(gè)層面進(jìn)行管控。全面分析信息泄露途徑,實(shí)施各種安全控制措施,從而達(dá)到早預(yù)防早控制的效果。高度的適應(yīng)性,能夠根據(jù)客戶的信息系統(tǒng)獲取方式進(jìn)行定制。GooAnn簡(jiǎn)化安全管理。明確敏感信息防護(hù)的部門和角色來執(zhí)行,分工明確,責(zé)任落實(shí),便于量化考核。為什么選擇GooAnn:GooAnn由一批高素質(zhì)、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實(shí)的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn),同時(shí)具備諸多國際上最為認(rèn)可的高級(jí)資質(zhì),包括CISSP、BS7799主任審核員、ITIL實(shí)施證書、CISA、CISM等。GooAnn顧問團(tuán)隊(duì)均具備十多年的安全經(jīng)驗(yàn),具備豐富的經(jīng)驗(yàn),既能夠深入到細(xì)節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓(xùn)貫穿項(xiàng)目實(shí)施全過程。GooAnn與國內(nèi)外的相關(guān)信息安全產(chǎn)品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術(shù)動(dòng)態(tài)和最新的成果,同時(shí)GooAnn也擔(dān)任國內(nèi)多家著名安全公司的安全管理咨詢指導(dǎo)工作。是國內(nèi)大型企業(yè)實(shí)施敏感數(shù)據(jù)保護(hù)案例最多的咨詢公司。第五章業(yè)務(wù)連續(xù)性咨詢GooAnn基于BS25999及BCI(BusinessContinuityInstitute)BusinessContinuityGuide提供業(yè)務(wù)連續(xù)性管理咨詢服務(wù)。內(nèi)容包括日常運(yùn)作流程設(shè)計(jì)、危機(jī)管理和大型災(zāi)害的應(yīng)對(duì)計(jì)劃和策略,業(yè)務(wù)持續(xù)性管理團(tuán)隊(duì)建設(shè)和咨詢等諸多方面的服務(wù),能夠幫助客戶從技術(shù)、流程、人員三方面提高業(yè)務(wù)持續(xù)能力,保證企業(yè)的正常運(yùn)作和發(fā)展,不但僅包括災(zāi)難恢復(fù)、危機(jī)管理、風(fēng)險(xiǎn)管理,也不但僅是一個(gè)IT問題,而是企業(yè)整體運(yùn)營戰(zhàn)略的一部分。它的建立包括重新審視企業(yè)的組織結(jié)構(gòu)操作流程,發(fā)現(xiàn)其中不能適應(yīng)意外風(fēng)險(xiǎn)和災(zāi)難的弱點(diǎn),經(jīng)過改進(jìn)和提高這些結(jié)構(gòu)和流程來避免企業(yè)業(yè)務(wù)運(yùn)行的中斷和丟失。經(jīng)過對(duì)企業(yè)業(yè)務(wù)的深入評(píng)估,GooAnn與客戶高層一起進(jìn)行業(yè)務(wù)影響分析,并經(jīng)過業(yè)務(wù)需求與客戶一起識(shí)別業(yè)務(wù)連續(xù)性目標(biāo),諸如MTO(MaximumTolerableOutage)、RTO(RecoveryTimeObjectives)以及RPO(RecoveryPointObjectives)等關(guān)鍵指標(biāo)。在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估后,與客戶一起建立業(yè)務(wù)連續(xù)性計(jì)劃,并指導(dǎo)進(jìn)行演練,最終協(xié)助客戶建立業(yè)務(wù)連續(xù)性管理體系。價(jià)值提升:GooAnn與金融系統(tǒng)災(zāi)備中心建立有緊密合作關(guān)系。不但能夠?yàn)榭蛻籼峁I(yè)務(wù)連續(xù)性管理體系建設(shè)服務(wù),而且能夠與合作伙伴一起幫助客戶基于業(yè)務(wù)連續(xù)性計(jì)劃建立災(zāi)備中心,真正幫助客戶把業(yè)務(wù)連續(xù)性管理落到實(shí)處。為什么選擇我們:GooAnn擁有自己的業(yè)務(wù)連續(xù)性管理專家,精通BS25999標(biāo)準(zhǔn)要求,而且具有實(shí)際建立業(yè)務(wù)連續(xù)性體系的實(shí)施經(jīng)驗(yàn)。第六章IT審計(jì)服務(wù)IT控制審計(jì)服務(wù)的目的就是根據(jù)組織的業(yè)務(wù)需求及相關(guān)法律法規(guī)要求,在Cobit框架下,參照與IT相關(guān)的具體控制標(biāo)準(zhǔn)、指南或最佳實(shí)踐,從實(shí)體、IT流程、IT資源三個(gè)層面出發(fā),采用訪談、核查、測(cè)試等信息收集手段,分析評(píng)價(jià)IT系統(tǒng)及其相關(guān)業(yè)務(wù)應(yīng)用是否滿足相關(guān)法規(guī)制度、標(biāo)準(zhǔn)指南及最佳實(shí)踐要求,并針對(duì)不符合部分提出改進(jìn)建議。IT控制審計(jì)服務(wù)包括內(nèi)部審計(jì)策劃、審計(jì)準(zhǔn)備、審計(jì)對(duì)象調(diào)查、實(shí)施審計(jì)、審計(jì)發(fā)現(xiàn)復(fù)核及溝通、審計(jì)報(bào)告六大步驟,共分四個(gè)階段,各個(gè)階段說明如下:為什么選擇我們:GooAnn合規(guī)部門擁有一支具有豐富的國內(nèi)外IT治理、IT風(fēng)險(xiǎn)控制及信息安全咨詢經(jīng)驗(yàn)的專家顧問團(tuán)隊(duì),主要由國際大型咨詢顧問公司(畢馬威/畢博/安永/埃森哲)及國內(nèi)大型信息安全廠商公司人員組成。擁有國內(nèi)最大的信息安全培訓(xùn)公司和完善的知識(shí)庫體系。擁有自主研發(fā)的IT風(fēng)險(xiǎn)管理軟件,提升項(xiàng)目實(shí)施效率降低了客戶投入費(fèi)用。擁有眾多實(shí)施案例。國內(nèi)最大的IT審計(jì)培訓(xùn)機(jī)構(gòu),擁有國內(nèi)最強(qiáng)的IT審計(jì)的師資力量。第七章SDL開發(fā)安全咨詢GooAnn公司SDL開發(fā)安全咨詢重點(diǎn)參考了微軟SDL相關(guān)推薦文檔1和《GB/T20274信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》,為客戶建立全面的信息系統(tǒng)生命周期安全保障體系框架。框架將考慮到各種信息系統(tǒng)的獲取方式以及客戶內(nèi)部的組織機(jī)構(gòu)特點(diǎn),能夠進(jìn)行多種定制,具有高度的適應(yīng)性。實(shí)施保障體系能夠?yàn)榭蛻裘鞔_信息系統(tǒng)生命周期各階段的各種安全保障流程,方法,活動(dòng),以及實(shí)施這些流程,方法,活動(dòng)的組織機(jī)構(gòu)建設(shè)和責(zé)任劃分。價(jià)值提升:經(jīng)過建立SDL開發(fā)安全體系,能夠?yàn)樾畔⑾到y(tǒng)提供全生命周期安全。安全保障貫穿信息系統(tǒng)生命周期始終,覆蓋信息系統(tǒng)生命周期各項(xiàng)活動(dòng)。為用戶節(jié)省安全成本。能夠在信息系統(tǒng)開始規(guī)劃階段就會(huì)全面考慮系統(tǒng)安全問題,實(shí)施各種安全控制措施,從而達(dá)到早預(yù)防,節(jié)省成本的效果。高度的適應(yīng)性,能夠根據(jù)客戶的信息系統(tǒng)獲取方式進(jìn)行定制。簡(jiǎn)化安全管理。實(shí)施SDL后,信息系統(tǒng)生命周期各階段的安全活動(dòng)有明確的部門和角色來執(zhí)行,分工明確,責(zé)任落實(shí),便于量化考核。為什么選擇我們:GooAnn由一批高素質(zhì)、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實(shí)的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn),同時(shí)具備諸多國際上最為認(rèn)可的高級(jí)資質(zhì),包括CISSP、BS7799主任審核員、ITIL實(shí)施證書、CISA、CISM等。GooAnn開發(fā)安全顧問團(tuán)隊(duì)具備十多年的安全開發(fā)經(jīng)驗(yàn),具備豐富的經(jīng)驗(yàn),既能夠深入到細(xì)節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓(xùn)貫穿項(xiàng)目實(shí)施全過程。GooAnn與國內(nèi)外的相關(guān)信息安全產(chǎn)品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術(shù)動(dòng)態(tài)和最新的成果,同時(shí)GooAnn也擔(dān)任國內(nèi)多家著名安全公司的安全管理咨詢指導(dǎo)工作。是國內(nèi)大型企業(yè)實(shí)施開發(fā)安全案例最多的咨詢公司。第八章ISO27001認(rèn)證咨詢GooAnn參照ISO27000信息安全管理體系國際標(biāo)準(zhǔn),為企業(yè)提供信息安全管理體系實(shí)施服務(wù),并獲得相關(guān)信息安全證書,以專業(yè)的服務(wù)精神幫助企業(yè)建立符合國際標(biāo)準(zhǔn)要求的信息安全管理體系。價(jià)值提升:經(jīng)過ISO27001認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。經(jīng)過ISO27001認(rèn)證可改進(jìn)全體的業(yè)績(jī)、消除不信任感。獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書,可得到國際上的承認(rèn),拓展您的業(yè)務(wù)。建立信息安全管理體系能降低這種風(fēng)險(xiǎn),經(jīng)過第三方的認(rèn)證能增強(qiáng)投資者及其它利益相關(guān)方的投資信心。組織按照信息安全體系相關(guān)標(biāo)準(zhǔn)建立信息安全管理體系,會(huì)有一定的投入,可是若能經(jīng)過認(rèn)證機(jī)關(guān)的審核,獲得認(rèn)證,將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)經(jīng)過認(rèn)證將能夠向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改進(jìn),并以此作為增強(qiáng)信息安全性的依據(jù)、信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。經(jīng)過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。為什么選擇我們:與認(rèn)證機(jī)構(gòu)的緊密溝通,與中國信息安全認(rèn)證中心、BSI、DNV、BV、等國際、國內(nèi)著名的認(rèn)證機(jī)構(gòu)建立了戰(zhàn)略合作關(guān)系。GooAnn多名顧問是國外認(rèn)證公司的兼職審核員。GooAnn由一批高素質(zhì)、專業(yè)化的骨干力量凝聚而成,顧問人員都具備扎實(shí)的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn),同時(shí)具備諸多國際上最為認(rèn)可的高級(jí)資質(zhì),包括CISSP、BS7799主任審核員、CISA、CISM、ITIL證書等。GooAnn顧問團(tuán)隊(duì)很好地把信息安全領(lǐng)域的專業(yè)技術(shù)及實(shí)踐經(jīng)驗(yàn)與以業(yè)務(wù)為驅(qū)動(dòng)的管理咨詢方法及體系實(shí)施特點(diǎn)有機(jī)結(jié)合在一起,即能夠深入到細(xì)節(jié),又能夠站在高層次上全面而系統(tǒng)地看待問題。顧問式培訓(xùn)貫穿項(xiàng)目實(shí)施全過程。GooAnn與國內(nèi)外的信息安全產(chǎn)品與解決方案提供商保持著良好的溝通,了解業(yè)界最新的技術(shù)動(dòng)態(tài)和最新的成果,同時(shí)GooAnn也擔(dān)任國內(nèi)多家著名安全公司的安全管理咨詢指導(dǎo)工作。是國內(nèi)大型企業(yè)ISO27001認(rèn)證咨詢實(shí)施案例最多的咨詢公司。我們的承諾:GooAnn參照相關(guān)標(biāo)準(zhǔn),建立內(nèi)部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機(jī)密。專業(yè)顧問協(xié)助企業(yè)共同擬定推動(dòng)計(jì)劃,并定期進(jìn)行進(jìn)度跟蹤、檢查與改進(jìn)。協(xié)助經(jīng)過信息安全國際標(biāo)準(zhǔn)ISO27001:的認(rèn)證。第九章等級(jí)保護(hù)體系咨詢依照國家等級(jí)保護(hù)制度,幫助客戶達(dá)到體系化的安全保障水平,采用體系化和等級(jí)化相結(jié)合的方法,為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。價(jià)值提升:建立一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系等級(jí)化:突出重點(diǎn),節(jié)省成本,滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性:結(jié)構(gòu)化,系統(tǒng)化,內(nèi)容全面針對(duì)性:針對(duì)實(shí)際情況,符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略持續(xù)性:可持續(xù)發(fā)展和完善,持續(xù)運(yùn)行為什么選擇我們:GooAnn顧問參與等保標(biāo)準(zhǔn)的制定,對(duì)等保標(biāo)準(zhǔn)有深刻理解與實(shí)踐。與公安部和業(yè)務(wù)知名等保專家緊密溝通,及時(shí)了解等保相關(guān)最新動(dòng)態(tài)。第三方公司客觀公正為客戶提供產(chǎn)品解決方案。有來自各大信息安全廠商顧問,對(duì)信息安全產(chǎn)品集成有豐富經(jīng)驗(yàn)。我們的承諾:GooAnn參照信息安全國際標(biāo)準(zhǔn),建立內(nèi)部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機(jī)密。我們的解決方案以客戶利益出發(fā),GooAnn做為第三方咨詢公司絕不參與信息安全技術(shù)產(chǎn)品銷售。第十章ISO0認(rèn)證咨詢提供基于PDCA用方法和相關(guān)國際標(biāo)準(zhǔn)的IT服務(wù)管理體系建設(shè)服務(wù),并結(jié)合認(rèn)證機(jī)構(gòu)提供IT服務(wù)管理體系咨詢服務(wù),改變企業(yè)IT管理現(xiàn)狀,提升企業(yè)IT管理水平,提升市場(chǎng)競(jìng)爭(zhēng)力。價(jià)值提升:獲得ISO0相關(guān)證書:意味著您的組織達(dá)到了世界公認(rèn)的領(lǐng)先的IT服務(wù)管理標(biāo)準(zhǔn)。意味著您的服務(wù)管理采用于IT服務(wù)管理最佳實(shí)踐,確保為客戶提供有效的、可靠的IT服務(wù)。經(jīng)過實(shí)施IT服務(wù)管理體系相關(guān)標(biāo)準(zhǔn),能夠有效改變企業(yè)IT管理現(xiàn)狀,提升企業(yè)IT管理水平,使企業(yè)IT部門由被動(dòng)轉(zhuǎn)化為主動(dòng),而且還可獲取大量的業(yè)務(wù)和財(cái)務(wù)受益。ISO0標(biāo)準(zhǔn)還有助于在既定資源約束下為客戶提供優(yōu)質(zhì)的服務(wù)以滿足她們的業(yè)務(wù)需求,如專業(yè)、成本效益和風(fēng)險(xiǎn)受控的服務(wù)。為什么選擇我們:與認(rèn)證機(jī)構(gòu)的緊密溝通,與BSI、DNV、BV、中國信息安全認(rèn)證中心等國際、國內(nèi)著名的認(rèn)證機(jī)構(gòu)建立了戰(zhàn)略合作關(guān)系。GooAnn多名顧問是國外公司的兼職審核員。GooAnn一直致力于IT服務(wù)治理、風(fēng)險(xiǎn)控制、信息安全等在各個(gè)行業(yè)的應(yīng)用,擁有數(shù)位資深顧問,擁有在金融、通訊、能源、制造業(yè)、BPO等各行業(yè)的成功實(shí)施經(jīng)驗(yàn),且能夠結(jié)合客戶自身特點(diǎn),提供不同的咨詢指導(dǎo)方式,幫助客戶建立基于國際相關(guān)標(biāo)準(zhǔn)的IT服務(wù)管理體系,并有效地和客戶原有管理模式和管理體系進(jìn)行融合,使流程高效率低投入的運(yùn)轉(zhuǎn)。第十一章IT服務(wù)管理產(chǎn)品實(shí)施依據(jù)ITIL、等國際標(biāo)準(zhǔn),吸取業(yè)界廣泛采用的IT管理、運(yùn)營與規(guī)劃領(lǐng)域的核心理念、方法論和最佳實(shí)踐,為我們的客戶提供完整的IT服務(wù)管理(ITSM)咨詢和實(shí)施服務(wù),降低服務(wù)成本、提高服務(wù)質(zhì)量。價(jià)值提升:應(yīng)用IT服務(wù)管理體系能夠使組織建立起一套IT服務(wù)管理的最佳流程,從而系統(tǒng)地、有序地提供管理服務(wù),為組織帶來以下益處:有效地管理服務(wù)以滿足客戶和業(yè)務(wù)需求獲得權(quán)威認(rèn)證機(jī)構(gòu)(由itSMF認(rèn)可)頒發(fā)的證書,能夠提升市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)建立透明、優(yōu)化的組織架構(gòu),降低IT運(yùn)營成本將服務(wù)管理與整體業(yè)務(wù)流程相結(jié)合對(duì)服務(wù)管理進(jìn)行測(cè)評(píng)及控制建立清晰的、集中的關(guān)于服務(wù)流程和常規(guī)實(shí)踐的文件系統(tǒng)使員工提高對(duì)服務(wù)管理責(zé)任的理解定期評(píng)估服務(wù)管理流程,維護(hù)和改進(jìn)其有效性有效的業(yè)務(wù)持續(xù)性管理廣泛認(rèn)可的IT服務(wù)管理實(shí)踐易于和其它管理體系整合為什么選擇我們:GooAnnITIL部門合伙人都是國內(nèi)最早從事ITIL咨詢和培訓(xùn)的專家。顧問都是來自BSI、IBM、西門子等業(yè)內(nèi)知名企業(yè)。都具備扎實(shí)的專業(yè)技能、優(yōu)秀的行業(yè)背景和豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn),同時(shí)具備諸多國際上最為認(rèn)可的高級(jí)資質(zhì),包括CISSP、IT服務(wù)管理體系主任審核員、ITIL實(shí)施證書、CISA、CISM等。顧問式培訓(xùn)貫穿項(xiàng)目實(shí)施全過程。我們的承諾:GooAnn參照IT服務(wù)管理體系相關(guān)標(biāo)準(zhǔn),建立內(nèi)部信息安全管理體系。顧問必須遵守GooAnn顧問職業(yè)道德規(guī)范保守客戶商業(yè)機(jī)密。建立一套能夠完全符合企業(yè)實(shí)際需求的IT服務(wù)管理體系,培養(yǎng)企業(yè)內(nèi)部顧問,企業(yè)不會(huì)因?yàn)轭檰柦Y(jié)束服務(wù)后而不知如何實(shí)施與維護(hù)。第十二章信息安全管理體系咨詢信息安全管理體系咨詢服務(wù)的目的就是根據(jù)ISO27001標(biāo)準(zhǔn)的要求,采用PDCA的過程模型,經(jīng)過基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估,幫助客戶建立文件化的信息安全管理體系,輔導(dǎo)客戶在其組織范圍內(nèi)實(shí)施、運(yùn)行、評(píng)審信息安全管理體系,從而確?？蛻粜畔⑾到y(tǒng)的正常運(yùn)行,提高服務(wù)競(jìng)爭(zhēng)力,最終促進(jìn)客戶業(yè)務(wù)的開展。信息安全管理體系建設(shè)咨詢服務(wù)包括準(zhǔn)備、風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃與設(shè)計(jì)、安全體系實(shí)施/調(diào)整/評(píng)審四個(gè)階段,各個(gè)階段如圖所示:第十三章技術(shù)方案1、信息安全風(fēng)險(xiǎn)管理系統(tǒng)顯著提高信息安全風(fēng)險(xiǎn)工作效率輕松成為信息風(fēng)險(xiǎn)管理專家產(chǎn)品簡(jiǎn)介:信息安全風(fēng)險(xiǎn)管理系統(tǒng)(Goo-ISRM),經(jīng)過信息化手段,在綜合考慮成本效益的前提下,經(jīng)過安全措施控制風(fēng)險(xiǎn),使殘余風(fēng)險(xiǎn)降低到組織能夠接收的程度。本系統(tǒng)依據(jù)國內(nèi)外有關(guān)信息安全相關(guān)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程,從信息資產(chǎn)、信息系統(tǒng)、業(yè)務(wù)流程等多個(gè)維度,評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理的意義和作用在于發(fā)現(xiàn)和識(shí)別組織所有潛在的信息安全風(fēng)險(xiǎn),經(jīng)過科學(xué)統(tǒng)一的、可重復(fù)比正確方法論進(jìn)行分析評(píng)價(jià),進(jìn)而為信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)做出合理的決策。風(fēng)險(xiǎn)管理工作是一項(xiàng)費(fèi)時(shí)、需要人力支持以及相關(guān)專業(yè)或業(yè)務(wù)知識(shí)支持的工作。信息安全風(fēng)險(xiǎn)管理系統(tǒng)(Goo-ISRM)不但把技術(shù)人員從繁雜的資產(chǎn)統(tǒng)計(jì)、風(fēng)險(xiǎn)評(píng)估的工作過程中解脫出來,還能夠完成一些人力無法完成的工作。該軟件的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理過程既滿足國際標(biāo)準(zhǔn)ISO27001、ISO27002和ISO27005的要求,也滿足國家標(biāo)準(zhǔn)GB20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》的要求,以及公安部等級(jí)保護(hù)測(cè)評(píng)要求。信息安全風(fēng)險(xiǎn)管理系統(tǒng)(Goo-ISRM)的內(nèi)部結(jié)構(gòu)模塊如下圖所示:產(chǎn)品特點(diǎn):*專業(yè)豐富的知識(shí)經(jīng)驗(yàn)庫:GooAnn-信息安全風(fēng)險(xiǎn)管理系統(tǒng)匯聚了專家顧問多年的行業(yè)經(jīng)驗(yàn),形成了專業(yè)豐富的知識(shí)經(jīng)驗(yàn)庫,使得用戶無需具備較高專業(yè)知識(shí)也能夠開展信息安全風(fēng)險(xiǎn)管理工作,降低了信息安全工作的門檻,提高信息安全工作的效率。*化繁為簡(jiǎn)的評(píng)估流程:GooAnn-信息安全風(fēng)險(xiǎn)管理系統(tǒng)將復(fù)雜的風(fēng)險(xiǎn)評(píng)估流程固化到系統(tǒng)之中。*高效可靠的風(fēng)險(xiǎn)管理:GooAnn-信息安全風(fēng)險(xiǎn)管理系統(tǒng)充分利用信息化手段來提高風(fēng)險(xiǎn)管理的工作效率,保障風(fēng)險(xiǎn)管理工作的質(zhì)量。*持續(xù)有效的風(fēng)險(xiǎn)管控:GooAnn-信息安全風(fēng)險(xiǎn)管理系統(tǒng)中能夠便宜的管理著歷次的信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果,清晰的了解風(fēng)險(xiǎn)變化趨勢(shì),準(zhǔn)確的查閱出風(fēng)險(xiǎn)的控制措施和責(zé)任人員,實(shí)現(xiàn)持續(xù)有效的風(fēng)險(xiǎn)管控。*清晰多樣的效果展示:GooAnn-信息安全風(fēng)險(xiǎn)管理系統(tǒng)中清晰多樣的展現(xiàn)了組織當(dāng)前的風(fēng)險(xiǎn)情況。給用戶帶來的收益:*幫助企業(yè)輕松完成復(fù)雜的資產(chǎn)統(tǒng)計(jì)、風(fēng)險(xiǎn)評(píng)估工作,最大程度的為企業(yè)降低風(fēng)險(xiǎn)評(píng)估工作管理成本并提高效率。2、合規(guī)管理系統(tǒng)——等級(jí)保護(hù)對(duì)國家基本制度——等級(jí)保護(hù)建設(shè)工作的創(chuàng)新推動(dòng)產(chǎn)品簡(jiǎn)介:等級(jí)保護(hù)合規(guī)管理系統(tǒng)是谷安天下根據(jù)國家信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)研發(fā)的管理系統(tǒng)平臺(tái),專為等級(jí)保護(hù)項(xiàng)目的建設(shè)過程和管理過程提供工具和知識(shí)支持。該軟件平臺(tái)滿足*GB/T22239-《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》*GB/T22240-《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》*《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(報(bào)批稿)*《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)過程指南》(報(bào)批稿)*《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)實(shí)施指南》(報(bào)批稿)系統(tǒng)根據(jù)等級(jí)保護(hù)建設(shè)項(xiàng)目流程,分為等級(jí)、備案、現(xiàn)狀調(diào)研、差距分析、體系建設(shè)、報(bào)告與報(bào)表等功能模塊,提供數(shù)據(jù)信息管理、表單方案報(bào)告自動(dòng)生成和數(shù)據(jù)匯總分析支撐。產(chǎn)品特點(diǎn):*為信息系統(tǒng)等級(jí)保護(hù)建設(shè)工作提供全方位工具支撐*加強(qiáng)信息系統(tǒng)等級(jí)保護(hù)建設(shè)工作的規(guī)范性,降低專業(yè)難度*減少信息系統(tǒng)強(qiáng)等級(jí)保護(hù)建設(shè)工作的工作量*將信息系統(tǒng)強(qiáng)等級(jí)保護(hù)建設(shè)工作過程、管理、工具一體化*以等級(jí)保護(hù)知識(shí)庫為現(xiàn)狀調(diào)研、差距分析、體系建設(shè)的核心基礎(chǔ)給用戶帶來的收益:*幫助企業(yè)在等級(jí)保護(hù)項(xiàng)目建設(shè)中降低管理成本,提高管理效率,增進(jìn)管理效果3、合規(guī)管理系統(tǒng)——ISO27000有條不紊,讓ISO27000合規(guī)不再無序產(chǎn)品簡(jiǎn)介:合規(guī)管理系統(tǒng)-ISO27000是谷安天下根據(jù)國際標(biāo)準(zhǔn)ISO27000而研發(fā)的管理系統(tǒng)軟件,專為信息安全管理體系的建設(shè)和認(rèn)證過程的管理提供信息化工具和知識(shí)支持。該軟件平臺(tái)滿足:*GB/T20984-《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》*GB/T18336—《信息安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》*GB/T19715.1-《信息技術(shù)信息技術(shù)安全管理指南》*NISTSP800-26《信息技術(shù)系統(tǒng)安全自評(píng)估指南》*NISTSP800-30《信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南》*IDTISO/IEC27001:《信息技術(shù)安全技術(shù)信息安全管理體系要求》*IDTISO/IEC27002:《信息技術(shù)安全技術(shù)信息安全管理實(shí)用細(xì)則》系統(tǒng)根據(jù)信息安全管理體系建設(shè)流程,包括:基本信息、差距評(píng)估、風(fēng)險(xiǎn)評(píng)估、整改追蹤、ISMS內(nèi)審、ISMS文件管理、報(bào)告與報(bào)表等功能模塊以及ISMS知識(shí)庫,支持組織開展信息安全管理體系合規(guī)工作流程。系統(tǒng)提供數(shù)據(jù)信息管理、表單方案報(bào)告自動(dòng)生成和數(shù)據(jù)匯總分析支撐。產(chǎn)品特點(diǎn):*為信息安全管理體系建設(shè)工作提供全方位工具支撐*加強(qiáng)信息安全管理體系建設(shè)工作的規(guī)范性,降低專業(yè)難度*減少信息安全管理體系建設(shè)工作的工作量*將信息安全管理體系建設(shè)工作過程、管理、工具一體化*以ISMS知識(shí)庫為差距評(píng)估、風(fēng)險(xiǎn)評(píng)估、體系建設(shè)、體系文檔的編寫提供知識(shí)基礎(chǔ)給用戶帶來的收益:*幫助企業(yè)在信息安全管理體系建設(shè)中降低管理成本,提高管理效率,增進(jìn)管理效果4、信息安全管理平臺(tái)國內(nèi)首創(chuàng),治理-風(fēng)險(xiǎn)-合規(guī)類平臺(tái)產(chǎn)品(GRC)產(chǎn)品簡(jiǎn)介:谷安天下提供的信息安全管控工作平臺(tái)是一款幫助企業(yè)建立、發(fā)布、執(zhí)行與審核信息安全工作的平臺(tái)工具,能夠有效促進(jìn)企業(yè)信息安全體系的建設(shè)與落地執(zhí)行。該解決方案能夠使組織采用信息化和自動(dòng)化的方法在全組織范圍內(nèi)開發(fā)、維護(hù)和檢查安全工作和安全管控措施的執(zhí)行狀況。G(治理)信息安全管控工作平臺(tái)支持信息安全管理工作的計(jì)劃-執(zhí)行-檢查-改進(jìn)(PDCA)四個(gè)階段的工作過程:在計(jì)劃階段,系統(tǒng)幫助管理部門建立安全管控體系,經(jīng)過5P法(人員-規(guī)章制度-實(shí)施流程-產(chǎn)品工具-執(zhí)行記錄)規(guī)劃具體安全工作,落實(shí)到各個(gè)部門;在運(yùn)行階段:系統(tǒng)支持安全管控體系的運(yùn)行,下發(fā)安全工作到各個(gè)部門并確認(rèn),定期/不定期發(fā)起安全工作自評(píng)估工作;在檢查階段,系統(tǒng)支持開展安全檢查工作,系統(tǒng)提供檢查單,檢查輔助等功能,來檢驗(yàn)安全管控體系的落實(shí)情況;在改進(jìn)階段,針對(duì)自評(píng)估、安全檢查、風(fēng)險(xiǎn)控制等發(fā)現(xiàn)的問題都要進(jìn)行跟蹤,確保整改得以落實(shí),同時(shí)針對(duì)整改完成后及時(shí)反饋至安全管控體系,這樣形成閉環(huán)管理,并始終在改進(jìn)同一個(gè)安全管控體系。R(風(fēng)險(xiǎn))信息安全管控平臺(tái)在風(fēng)險(xiǎn)管理方面經(jīng)過風(fēng)險(xiǎn)環(huán)境定義,風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià),整改跟蹤,風(fēng)險(xiǎn)監(jiān)控四個(gè)功能,來識(shí)別、管理、控制、監(jiān)控企業(yè)內(nèi)的風(fēng)險(xiǎn),形成了風(fēng)險(xiǎn)管理閉環(huán)。C(合規(guī))信息安全管控平臺(tái)在合規(guī)管理方面經(jīng)過建立相關(guān)法律法規(guī)、行業(yè)要求、行業(yè)規(guī)范與組織安全管控體系之間的映射,實(shí)現(xiàn)動(dòng)態(tài)合規(guī),動(dòng)態(tài)生成合規(guī)視圖。產(chǎn)品功能視圖:產(chǎn)品特點(diǎn):*為安全管理工作的各個(gè)角色設(shè)計(jì)了不同的功能和使用界面,使客戶在組織結(jié)構(gòu)上自上到下實(shí)現(xiàn)安全管控體系的落地;*集成協(xié)作和工作流引擎能夠在可控的條件下實(shí)現(xiàn)安全管控體系的實(shí)施和落地,;*內(nèi)置強(qiáng)大復(fù)雜的知識(shí)庫,安全管控體系最佳實(shí)踐庫,自動(dòng)映射的合規(guī)庫,安全檢查知識(shí)庫等;*強(qiáng)大的分析和報(bào)告與圖形儀表板,對(duì)每項(xiàng)安全工作進(jìn)行全程跟蹤管理,讓管理人員經(jīng)過系統(tǒng)的完全可視性,實(shí)現(xiàn)治理、風(fēng)險(xiǎn)與合規(guī)的全面掌控。給客戶帶來的價(jià)值:*幫助組織快速建立管控體系*推動(dòng)管控體系落地,實(shí)現(xiàn)P-D-C-A改進(jìn)過程*規(guī)范安全檢查/審計(jì)工作*動(dòng)態(tài)合規(guī),極大簡(jiǎn)化管理者和執(zhí)行者工作*有效管理和監(jiān)控風(fēng)險(xiǎn)第十四章解決方案1、金融行業(yè)解決方案銀行方案背景:當(dāng)前,銀行監(jiān)管部門對(duì)IT風(fēng)險(xiǎn)監(jiān)管的要求越來越高。在銀行的企業(yè)風(fēng)險(xiǎn)管理中,銀行三大風(fēng)險(xiǎn)分別為信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn),當(dāng)前IT風(fēng)險(xiǎn)已經(jīng)成為操作風(fēng)險(xiǎn)的重要組成部分,監(jiān)管部門針對(duì)銀行IT風(fēng)險(xiǎn)近年來出臺(tái)了多個(gè)的監(jiān)管規(guī)范。3月銀監(jiān)會(huì)發(fā)布新版《商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)管理指引》,系統(tǒng)地對(duì)銀行IT風(fēng)險(xiǎn)的控制提出了基本要求,涉及信息科技管理的各個(gè)業(yè)務(wù)領(lǐng)域,重點(diǎn)提出了IT治理機(jī)制、IT風(fēng)險(xiǎn)管理的制度與流程、IT運(yùn)維、應(yīng)用開發(fā)、IT審計(jì)、客戶數(shù)據(jù)保護(hù)方面的管控要求,能夠有效地指導(dǎo)商業(yè)銀行系統(tǒng)地對(duì)IT風(fēng)險(xiǎn)進(jìn)行管理。銀監(jiān)會(huì)還將正式發(fā)布《商業(yè)銀行信息科技治理建設(shè)指導(dǎo)意見》、《業(yè)務(wù)連續(xù)性監(jiān)管指引》、《外包監(jiān)管指引》等專項(xiàng)指引,以指導(dǎo)商業(yè)銀行全方位推進(jìn)IT風(fēng)險(xiǎn)管理工作。近年來,人民銀行陸續(xù)發(fā)布了《銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《銀行信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》等,對(duì)商業(yè)銀行的信息安全提出的明確的要求。另外,根據(jù)監(jiān)管部門的規(guī)劃,銀行IT風(fēng)險(xiǎn)年度評(píng)級(jí)要納入銀行整體評(píng)級(jí)之中,銀監(jiān)會(huì)在十二五規(guī)劃中還提出了”科技引領(lǐng)業(yè)務(wù)發(fā)展”的要求,包括IT風(fēng)險(xiǎn)在內(nèi)的銀行操作風(fēng)險(xiǎn)將變得和信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)一樣重要,IT風(fēng)險(xiǎn)管理將得到銀行高級(jí)管理層的真正重視。考慮到國內(nèi)銀行IT管理的成熟度普遍較低,因此,在未來8~內(nèi),國內(nèi)銀行界將掀起轟轟烈烈的IT風(fēng)險(xiǎn)管理熱潮。方案內(nèi)容:因此,在銀行業(yè)信息科技風(fēng)險(xiǎn)體系建設(shè)時(shí),要考慮到設(shè)計(jì)與建立適宜的科技風(fēng)險(xiǎn)管理體系與有效的IT內(nèi)控制與信息安全控制機(jī)制,建立與巴塞爾新資本協(xié)議所要求的操作風(fēng)險(xiǎn)的接口,同時(shí)探索建立與信息科技風(fēng)險(xiǎn)相關(guān)的操作風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)方法。證券方案背景:隨著證券行業(yè)與業(yè)務(wù)的發(fā)展,業(yè)務(wù)資料的機(jī)密性、完整性及可用性對(duì)證券公司越來越重要。用戶網(wǎng)上交易量的巨增,跨行業(yè)、跨市場(chǎng)、跨境大量業(yè)務(wù)的出現(xiàn),需要更多地使用互聯(lián)網(wǎng)進(jìn)行在線交易和數(shù)據(jù)交換,因而,證券機(jī)構(gòu)由于安全隔離不充分而面臨的外部入侵風(fēng)險(xiǎn)將越來越大。一旦由于內(nèi)部疏忽和外部入侵造成了業(yè)務(wù)敏感信息泄露,不但造成證券公司的重大經(jīng)濟(jì)損失,而且對(duì)公司的聲譽(yù)造成了極大的負(fù)面影響,這是證券公司當(dāng)前普通面臨的嚴(yán)峻挑戰(zhàn)。另一方面,為了保障證券期貨信息系統(tǒng)安全運(yùn)行,加強(qiáng)證券期貨業(yè)信息安全管理工作,促進(jìn)證券期貨市場(chǎng)穩(wěn)定健康發(fā)展,保護(hù)投資者合法權(quán)益,證監(jiān)會(huì)根據(jù)《證券法》、《證券投資基金法》、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律、行政法規(guī),制定并發(fā)布了《證券期貨業(yè)信息安全保障管理辦法(征求意見稿)》。因此建立一整套適合證券行業(yè)的信息系統(tǒng)安全體系,并能夠切實(shí)可行地貫徹在證券行業(yè)IT相關(guān)工作的各個(gè)環(huán)節(jié),成為信息安全建設(shè)的戰(zhàn)略目標(biāo)。保險(xiǎn)方案背景:現(xiàn)代保險(xiǎn)業(yè)的運(yùn)轉(zhuǎn)對(duì)信息化的依賴程度與日俱增,信息化不再只是一種輔助的手段,而是已成為保險(xiǎn)機(jī)構(gòu)的大動(dòng)脈,一旦斷裂,不但使保險(xiǎn)機(jī)構(gòu)遭受巨額經(jīng)濟(jì)損失,降低企業(yè)自身的聲譽(yù),而且將不可避免地對(duì)整個(gè)保險(xiǎn)業(yè)的發(fā)展帶來信任危機(jī)。隨著中國保險(xiǎn)業(yè)快速發(fā)展,保險(xiǎn)公司信息化建設(shè)的需求和實(shí)踐更加深入。因此,加強(qiáng)對(duì)保險(xiǎn)業(yè)的信息安全建設(shè),是保障保險(xiǎn)業(yè)安全、穩(wěn)健發(fā)展的現(xiàn)實(shí)需要。保險(xiǎn)業(yè)是信息密集型行業(yè),保險(xiǎn)信息系統(tǒng)作為國家重要信息系統(tǒng)之一,其信息安全和網(wǎng)絡(luò)安全面臨著嚴(yán)峻的考驗(yàn)。一旦信息安全受到損害,將嚴(yán)重?cái)_亂國家經(jīng)濟(jì)秩序,威脅國家金融安全,而且由于保戶數(shù)量巨大,將不可避免地?fù)p害廣大被保險(xiǎn)人的切身利益。當(dāng)前,各保險(xiǎn)機(jī)構(gòu)對(duì)于信息安全問題都給予重視和投入,并建立了信息安全管理辦法。但由于各保險(xiǎn)機(jī)構(gòu)在規(guī)模實(shí)力、信息技術(shù)力量方面有很大差別,信息安全管理水平參差不齊,各保險(xiǎn)機(jī)構(gòu)的信息安全建設(shè)狀況差別較大。缺乏統(tǒng)一規(guī)范和指導(dǎo),保險(xiǎn)業(yè)信息安全管理的整體水平有待提高。2、通信行業(yè)解決方案方案背景:在電信運(yùn)營市場(chǎng)競(jìng)爭(zhēng)日趨激烈,通信技術(shù)不斷更新發(fā)展,客戶及市場(chǎng)日漸成熟的新形式下,中國移動(dòng)、中國電信、中國聯(lián)通均提出了加強(qiáng)企業(yè)信息化安全的總體目標(biāo),狠抓企業(yè)內(nèi)部的信息安全建設(shè),實(shí)現(xiàn)”以業(yè)務(wù)為導(dǎo)向、以客戶為中心、以安全為保障”的服務(wù)模式。網(wǎng)絡(luò)與信息安全保障體系建設(shè)是一個(gè)長期的建設(shè)和改進(jìn)過程,也需要有一定的衡量指標(biāo)來度量網(wǎng)絡(luò)與信息安全保障體系建設(shè)是否達(dá)到一定的水平,并以此作為改進(jìn)的機(jī)會(huì)和方向。我們結(jié)合運(yùn)營商行業(yè)集團(tuán)要求、國內(nèi)外標(biāo)準(zhǔn)及業(yè)界最佳安全實(shí)踐為運(yùn)營商量身定制了信息安全解決方案。3、央企解決方案方案背景:當(dāng)前國有中央企業(yè)信息化建設(shè)逐步完善,ERP、財(cái)務(wù)、預(yù)算、資金、決策支持、OA等各類主線業(yè)務(wù)系統(tǒng)陸續(xù)上線運(yùn)行,對(duì)央企IT基礎(chǔ)設(shè)施以及信息系統(tǒng)的支撐能力提出了更高的要求,也日益暴露出潛在的信息安全風(fēng)險(xiǎn)和隱患,需要從權(quán)威性、專業(yè)性和全面性出發(fā),分析梳理信息安全現(xiàn)狀,對(duì)存在的各類風(fēng)險(xiǎn)和隱患進(jìn)行科學(xué)評(píng)估,并制定后續(xù)整改方案。 同時(shí),國資委對(duì)中央企業(yè)的信息化水平評(píng)價(jià)指標(biāo)中,信息安全、IT服務(wù)、IT審計(jì)都是重要的指標(biāo)項(xiàng)。近年來,國資委對(duì)信息安全管理、商業(yè)秘密保護(hù)、企業(yè)內(nèi)部控制等都提出了明確的監(jiān)管要求。4、開發(fā)安全解決方案軟件開發(fā)安全方案背景:應(yīng)用軟件占據(jù)了所有漏洞的92%”–NIST”在過去中,那些重要應(yīng)用軟件的缺陷每年增長43%”–CERT”75%的黑客攻擊發(fā)生在應(yīng)用軟件層面”–Gartner”對(duì)Internet系統(tǒng)的攻擊每隔39秒發(fā)生一次”–UniversityofMaryland以上這些權(quán)威數(shù)字清晰表明兩方面的結(jié)論:應(yīng)用軟件在漏洞比例中占據(jù)了絕正確比重,而且呈現(xiàn)快速增長趨勢(shì)應(yīng)用軟件已經(jīng)成為黑客攻擊的主要目標(biāo)近年來,國內(nèi)外發(fā)生了許多由系統(tǒng)缺陷引發(fā)的重大信息安全事件層出不窮,讓我們不得不正視應(yīng)用安全問題。這些信息安全事件不但給相關(guān)公司在市場(chǎng)上造成了重大不良影響,事后的聲譽(yù)彌補(bǔ)和系統(tǒng)修復(fù)花費(fèi)了大量的人力,物力和財(cái)力。那么是否存在一種方法對(duì)這種情況進(jìn)行改觀呢?它既能大量減少花費(fèi),又能在系統(tǒng)生產(chǎn)階段規(guī)避或大量減少這些信息安全事件.事實(shí)上,業(yè)界給出了一致的答案--安全開發(fā)。安全開發(fā)是由微軟、思科等軟件業(yè)巨頭在實(shí)踐中總結(jié)提煉而出,是一種系統(tǒng)化的,成效卓著的應(yīng)用安全解決方案,她將一系列的安全活動(dòng)、安全管理實(shí)踐和安全開發(fā)工具系統(tǒng)化的結(jié)合在一起,將應(yīng)用軟件中主要的安全漏洞在開發(fā)階段予以解決。軟件開發(fā)中的安全問題人員的問題:絕大多數(shù)的開發(fā)人員不具備安全需求分析,安全架構(gòu)設(shè)計(jì),安全編碼和安全測(cè)試的能力,安全意識(shí)亦十分淡薄。管理的問題:大多數(shù)的應(yīng)用開發(fā)過程缺少安全關(guān)注,沒有相應(yīng)環(huán)節(jié)對(duì)安全問題進(jìn)行研究和評(píng)審把關(guān),忽視安全過程管理。工具的問題:大多數(shù)的公司在開發(fā)過程中,沒有使用相應(yīng)安全工具,如威脅建模工具,代碼自動(dòng)化掃描工具等,無法有效發(fā)現(xiàn)和解決安全漏洞。在一些擁有安全開發(fā)工具的公司,其使用效率和有效性低下,亟待提高。GooAnn軟件開發(fā)安全解決方案:SDL開發(fā)安全咨詢SDL開發(fā)安全咨詢重點(diǎn)參考了微軟SDL相關(guān)推薦文檔和《GB/T20274信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》,為客戶建立全面的信息系統(tǒng)生命周期安全保障體系框架。框架將考慮到各種信息系統(tǒng)的獲取方式以及客戶內(nèi)部的組織機(jī)構(gòu)特點(diǎn),能夠進(jìn)行多種定制,具有高度的適應(yīng)性。實(shí)施保障體系能夠?yàn)榭蛻裘鞔_信息系統(tǒng)生命周期各階段的各種安全保障流程,方法,活動(dòng),以及實(shí)施這些流程,方法,活動(dòng)的組織機(jī)構(gòu)建設(shè)和責(zé)任劃分。源碼安全測(cè)試服務(wù)源碼安全測(cè)試發(fā)現(xiàn)代碼構(gòu)造期間引入實(shí)現(xiàn)級(jí)別的安全漏洞,并為這些編碼錯(cuò)誤建議補(bǔ)救措施。代碼審查對(duì)現(xiàn)有代碼庫進(jìn)行分析,并對(duì)導(dǎo)致安全漏洞的代碼構(gòu)造進(jìn)行定位。我們的專業(yè)安全團(tuán)隊(duì)將靜態(tài)分析工具和"眼睛"手動(dòng)審查相結(jié)合來盡可能揭示所有的可能存在的漏洞。源碼測(cè)試能夠在以C,C++,C#,VB,VB.Net,Java,ABAP語言以及包括Ruby,PHP,AJAX,和Perl在內(nèi)的各種Web技術(shù)編寫的應(yīng)用程序下運(yùn)行。代碼審查的結(jié)果應(yīng)以一份詳細(xì)報(bào)告表現(xiàn)出來,概述代碼問題,并提出提高安全性的修復(fù)方案。從而使開發(fā)團(tuán)隊(duì)能夠更好地了解代