服务原则

        咨询服务主要基于风险管理的思维,以保障业务发展为主导,以保护数据安全为核心,针对不同的防护对象、不同的应用场景制定差异化安全防护策略,加强动态监测及运营,实现安全防护、效率、成本之间的合理平衡,遵循以下主要原则:
  • 标准性原则:
信息安全咨询的设计和实施应依据严格遵循国际国内系列标准和最佳实践进行;
  • 规范性原则:
信息安全咨询服务输出的过程文档及最终交付文档应具有很好的规范性和一致性。
  • 可控性原则:
在保证项目质量的前提下,按计划进度执行,保证咨询对于项目的可控性。信息安全调研的工具、方法和过程要在双方认可的范围之内合法进行;
  • 完整性原则:
调研和规划设计的范围和内容应完整地覆盖信息安全所涉及的技术和管理等各个层面,并对这种完整性进行说明或论证,实施对象也应完整地覆盖信息系统的各个方面;
  • 合理性原则:
整体信息安全设计必须立足于XXXX公司的现实情况,设计方法应合乎逻辑,过程应完备详实,从而确保结论是可信服的;
  • 可操作性原则:
在信息安全架构设计中,应根据信息安全要求提出相应的解决方案,方案必须具体可行且中立,易于实际操作;
  • 经济性原则:
方案的设计和实施应在达到项目要求的前提下,具有较高的性价比和经济性;
  • 先进性原则:
方案的设计要具备先进性和前瞻性,统筹考虑未来三年的信息安全发展需求。
 

服务流程

 
阶段说明:
  • 计划准备阶段:制定符合标准项目计划书,明确各阶段的工作内容,输出物。项目启动会等;
  • 现状调研阶段:通过文件审核、问卷调查、现场访谈、重点业务系统技术评估、评估来确认信息安全管理体系和技术体系现状,全面正确的总结信息安全现状;
  • 安全能力成熟度评估阶段:
          安全管理体系差距分析:结合ISO27001标准对公司现有安全管理体系进行差距分析;
          安全技术防御体系分析:从物理、网络、主机、应用、数据等技术领域对公司进行技术防御体系差距分析;
          风险评估阶段:通过对信息技术部所涉及信息资产的梳理,并借助的技术评估手段,准确评估各项资产并揭示风险值,为后续的体系建设建立良好的基础;从法律要求,监管要求,体系标准以及安全建设等多纬度对信息安全能力成熟度分析;
  • 信息安全建设规划阶段:通过前期的现状调研和安全能力成熟度评估,确立信息安全体系建设的目标和方向,并建立相关制度体系和技术体系规划方案,明确后续阶段路线图和任务优先级;
  • 项目总结阶段:验证规划方案的落地性,度量实际运做的偏差,保障安全体系的正常运作和落地保障,交付本次信息安全咨询项目建设的成果。

服务工具

信息安全规划咨询服务涉及的服务工具包括:
  1. 调研检查表(包括资产调研表、组织机构及人员调研表)
  2. 文档查阅
  3. 人员访谈
  4. 现场检查
  5. 重点业务系统检测
  6. 漏洞扫描
  7. 风险分析
 

服务交付物

项目五阶段均需进行关键成果交付,如图示:

  • 关键交付物:
关键阶段
(里程碑)		 工作内容 阶段产出物(文档) 最终交付物(文档)
现状调研
 		 现状调研阶段启动 项目计划书 《信息安全现状调研报告》
 
文件审核 技术资料、管理制度、运行记录等资料评审报告
问卷调查 设计开发管理、运维管理、信息安全调查问卷对信息安全控制点专项问卷调查
现场访谈 管理层、执行层、关键岗位人员访谈问卷
重点业务系统检查 系统全生命周期安全控制分析报告
现状调研阶段验收 阶段验收报告
安全能力成熟度评估
(CMA)		 风险评估阶段启动 风险评估详细实施计划 《管理与技术体系差距能力评估表》
《信息安全风险评估报告》
《安全能力成熟度分析报告》
 
安全管理体系差距分析 《信息安全管理体系成熟度分析报告》
安全技术防御体系差距分析 《信息安全技术防御体系差距报告》
风险评估
(资产识别、漏洞扫描、渗透测试、威胁识别、已有控制措施识别、风险分析)		 《信息资产清单》
《信息安全风险处置计划》
CMA阶段验收 《阶段验收报告》  
 
 
 
《信息安全建设规划方案》
信息安全建设规划 安全需求与目标分析会 会议纪要
制定信息安全方针与安全目标 《信息安全目标、安全方针以及深化建设目标》
信息安全建设蓝图规划 《信息安全建设蓝图规划》
确认任务实施路线图 《总体实施路线图》
《任务优先级划分》
信息安全建设规划阶段验收 《阶段验收报告》