面對Internet帶來(lái)的威脅，許多網(wǎng)絡(luò )安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品,包括運用殺毒軟件、防火墻、安全管理、認證授權、加密等手段，并提供相應的產(chǎn)品來(lái)進(jìn)行安全防護，以確保網(wǎng)絡(luò )的安全。但單一的安全產(chǎn)品，已經(jīng)難以有效地保證用戶(hù)的網(wǎng)絡(luò )安全維護，在技術(shù)日新月異的趨勢下，用戶(hù)盼望更為專(zhuān)業(yè)的安全服務(wù)，尤其是企業(yè)、媒體和各類(lèi)網(wǎng)站等專(zhuān)業(yè)用戶(hù)，他們更加需要一套從系統分析到產(chǎn)品與服務(wù)的專(zhuān)業(yè)化整體解決方案。 

        作為專(zhuān)業(yè)的信息安全管理咨詢(xún)機構，我們積累了豐富的ISMS建設實(shí)踐經(jīng)驗，形成完整的方法論體系，能夠幫助客戶(hù)建立符合自身業(yè)務(wù)要求和標準要求的信息安全管理體系，提升組織信息安全保障能力、確保組織業(yè)務(wù)持續運行。針對用戶(hù)的信息安全需求，我們推出了以下專(zhuān)業(yè)安全服務(wù)。 

一、信息安全風(fēng)險評估服務(wù)

        信息安全風(fēng)險評估服務(wù)是一項以安全性評估和改進(jìn)為目標的咨詢(xún)服務(wù)。通過(guò)對客戶(hù)信息系統的安全調查，識別信息系統的關(guān)鍵資產(chǎn)、面臨的威脅以及存在的脆弱性，量化分析客戶(hù)信息系統中存在的安全風(fēng)險，為客戶(hù)提供風(fēng)險控制及安全性改進(jìn)的建議，并協(xié)助客戶(hù)實(shí)施各項風(fēng)險控制措施，以管理信息系統中存在的各種安全風(fēng)險。

        1、評估模型與方法

        （1）現有信息系統分析：對現有信息系統、所處環(huán)境、管理組織、用戶(hù)的安全需求進(jìn)行調查分析，是分析工作的基點(diǎn)。

        （2）識別關(guān)鍵資產(chǎn)：根據信息系統分析的結果識別出系統的關(guān)鍵資產(chǎn)，以此為核心進(jìn)行風(fēng)險分析工作。

        （3）識別威脅：識別出信息系統主要的安全威脅、以及相應的威脅途徑/方式。

        （4）識別脆弱點(diǎn)：通過(guò)測試或訪(fǎng)談的形式識別出系統在技術(shù)脆弱點(diǎn)與管理方面的薄弱環(huán)節，以及組織的事件防范能力。

        （5）分析事件影響：結合組織的安全需求，事件控制能力，信息系統結構綜合分析威脅事件對信息系統可能造成的影響。

        （6）綜合風(fēng)險評估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱點(diǎn)及防范能力、綜合事件影響評估組織面臨的風(fēng)險。

        2、風(fēng)險評估服務(wù)內容

        根據客戶(hù)需求不同，我們可以為客戶(hù)提供多種類(lèi)型的評估服務(wù)。

        評估內容主要包括：

        （1）設施安全性評估：對信息系統的周邊環(huán)境、機房設施等進(jìn)行評估診斷。

        （2）網(wǎng)絡(luò )安全性評估：對系統所依賴(lài)的網(wǎng)絡(luò )進(jìn)行安全性評估，包括網(wǎng)絡(luò )架構、網(wǎng)絡(luò )設備等。

        （3）平臺安全性評估：對終端或服務(wù)器平臺進(jìn)行安全性評估診斷，包括硬件配置、操作系統、數據庫等。

        （4）數據安全性評估：對數據的完整、機密、可靠、可用等要素進(jìn)行評估。

        （5）應用安全性評估：對業(yè)務(wù)應用系統的安全性進(jìn)行測試和診斷，包括滲透性測試、攻擊測試、源代碼分析等。

        （6）安全管理評估：對系統的信息安全管理機制進(jìn)行調查和評估。

        （7）綜合風(fēng)險評估：對設施、網(wǎng)絡(luò )、平臺、應用、管理等方面的安全性進(jìn)行綜合評估。

        3、評估實(shí)施流程

        前期準備階段：

        （1）確定評估范圍

        （2）成立評估項目組

        （3）召開(kāi)項目啟動(dòng)會(huì )

        （4）背景資料收集

        （5）確定評估方法

        （6）編制實(shí)施方案與計劃

        （7）準備評估工具

        現場(chǎng)調查階段：

        （1）問(wèn)卷調查

        （2）現場(chǎng)訪(fǎng)問(wèn)

        （3）討論會(huì )議

        （4）技術(shù)測試

        風(fēng)險分析階段：

        （1）威脅量化

        （2）脆弱性量化

        （3）影響量化

        （4）風(fēng)險分析與評價(jià)

        安全策略階段：

        （1）確定安全需求

        （2）確定安全目標

        （3）提出風(fēng)險控制建議

        （4）協(xié)助實(shí)施風(fēng)險控制措施 

        參考安全標準

        （1）ISO 13335-1 《IT安全管理指南 第1部分：IT安全概念和模型》

        （2）ISO/IEC 17799 《信息安全管理 實(shí)用規則》

        （3）信息保障技術(shù)框架——IATF

        （4）信息系統安全風(fēng)險分析方法—— OCTAVE（Operationally Critical Threat, Asset,  and Vulnerability Evaluation）

        （5）國家標準《信息安全風(fēng)險評估指南》

二、信息安全管理體系建設（ISMS）服務(wù)

        威格顧問(wèn)認為服務(wù)ISMS咨詢(xún)服務(wù)是根據國際標準ISO/IEC 27001:2005，為組織建立完整的信息安全管理體系，以通過(guò)ISO/IEC27001管理體系認證為目標的咨詢(xún)服務(wù)。通過(guò)差距分析、風(fēng)險評估、安全規劃等各種手段，對組織的11個(gè)控制方面，39個(gè)控制目標和133項控制要素進(jìn)行安全控制，建立完善的信息安全管理體系，對內從管理角度防止信息系統出現安全事故或事件，對外樹(shù)立信息系統可靠性形象，滿(mǎn)足顧客要求，提高企業(yè)競爭能力。

        1、服務(wù)內容

        根據客戶(hù)需求不同，威格顧問(wèn)可以為客戶(hù)提供多種咨詢(xún)服務(wù)。服務(wù)內容主要包括：

        （1）建立信息安全管理體系

        （2）ISO/IEC27001認證咨詢(xún)

        （3）ISO/IEC20000認證咨詢(xún)

        （4）ISMS宣貫培訓

        （5）風(fēng)險評估、風(fēng)險管理咨詢(xún)

        （6）ISMS文件編寫(xiě)咨詢(xún)

        （7）ISO27001與ISO20000、ISO9001整合咨詢(xún)

        2、體系建立模型與方法

        （1）Plan規劃：根據組織業(yè)務(wù)運作的安全需求，確定信息安全管理的范圍以及安全策略，建 立信息安全組織結構，進(jìn)行現場(chǎng)調查及差距分析，通過(guò)風(fēng)險評估建立控制目標和方式，編寫(xiě)ISMS體系文件，包括必要的流程和業(yè)務(wù)持續性計劃等工作。計劃階段最重要的部分是設定認證涵蓋的范圍及區域。

        （2）Do實(shí)施：發(fā)布及實(shí)施ISMS。在實(shí)施階段中三零公司要協(xié)助組織實(shí)施安全策略、控制 措施、流程、規章制度，并準備適用性報告。同時(shí)也需確保所有員工都了解信息安全的重要性，且確保其接受了適當的培訓，及有能力執行他們負責的安全工作。此外，還要積極協(xié)調所需的資源。

        （3）Check檢查：核查的目的是依據方針、目標和實(shí)際經(jīng)驗測量，對信息安全管理過(guò)程和信

息系統的安全進(jìn)行監控和驗證，并決策者報告結果。確保控制措施都已推行，并能達到既定的目標。該階段工作內容主要包括內部審核與管理評審。

        （4）Act處置：需要對核查結果采取適當的行動(dòng)，采取糾正和預防措施進(jìn)一步提高過(guò)程業(yè)績(jì)，

以達到對ISMS的持續改進(jìn)。