面對(duì)Internet帶來的威脅，許多網(wǎng)絡(luò)安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品,包括運(yùn)用殺毒軟件、防火墻、安全管理、認(rèn)證授權(quán)、加密等手段，并提供相應(yīng)的產(chǎn)品來進(jìn)行安全防護(hù)，以確保網(wǎng)絡(luò)的安全。但單一的安全產(chǎn)品，已經(jīng)難以有效地保證用戶的網(wǎng)絡(luò)安全維護(hù)，在技術(shù)日新月異的趨勢(shì)下，用戶盼望更為專業(yè)的安全服務(wù)，尤其是企業(yè)、媒體和各類網(wǎng)站等專業(yè)用戶，他們更加需要一套從系統(tǒng)分析到產(chǎn)品與服務(wù)的專業(yè)化整體解決方案。 

        作為專業(yè)的信息安全管理咨詢機(jī)構(gòu)，我們積累了豐富的ISMS建設(shè)實(shí)踐經(jīng)驗(yàn)，形成完整的方法論體系，能夠幫助客戶建立符合自身業(yè)務(wù)要求和標(biāo)準(zhǔn)要求的信息安全管理體系，提升組織信息安全保障能力、確保組織業(yè)務(wù)持續(xù)運(yùn)行。針對(duì)用戶的信息安全需求，我們推出了以下專業(yè)安全服務(wù)。 

一、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)

        信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)是一項(xiàng)以安全性評(píng)估和改進(jìn)為目標(biāo)的咨詢服務(wù)。通過對(duì)客戶信息系統(tǒng)的安全調(diào)查，識(shí)別信息系統(tǒng)的關(guān)鍵資產(chǎn)、面臨的威脅以及存在的脆弱性，量化分析客戶信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)，為客戶提供風(fēng)險(xiǎn)控制及安全性改進(jìn)的建議，并協(xié)助客戶實(shí)施各項(xiàng)風(fēng)險(xiǎn)控制措施，以管理信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)。

        1、評(píng)估模型與方法

        （1）現(xiàn)有信息系統(tǒng)分析：對(duì)現(xiàn)有信息系統(tǒng)、所處環(huán)境、管理組織、用戶的安全需求進(jìn)行調(diào)查分析，是分析工作的基點(diǎn)。

        （2）識(shí)別關(guān)鍵資產(chǎn)：根據(jù)信息系統(tǒng)分析的結(jié)果識(shí)別出系統(tǒng)的關(guān)鍵資產(chǎn)，以此為核心進(jìn)行風(fēng)險(xiǎn)分析工作。

        （3）識(shí)別威脅：識(shí)別出信息系統(tǒng)主要的安全威脅、以及相應(yīng)的威脅途徑/方式。

        （4）識(shí)別脆弱點(diǎn)：通過測(cè)試或訪談的形式識(shí)別出系統(tǒng)在技術(shù)脆弱點(diǎn)與管理方面的薄弱環(huán)節(jié)，以及組織的事件防范能力。

        （5）分析事件影響：結(jié)合組織的安全需求，事件控制能力，信息系統(tǒng)結(jié)構(gòu)綜合分析威脅事件對(duì)信息系統(tǒng)可能造成的影響。

        （6）綜合風(fēng)險(xiǎn)評(píng)估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱點(diǎn)及防范能力、綜合事件影響評(píng)估組織面臨的風(fēng)險(xiǎn)。

        2、風(fēng)險(xiǎn)評(píng)估服務(wù)內(nèi)容

        根據(jù)客戶需求不同，我們可以為客戶提供多種類型的評(píng)估服務(wù)。

        評(píng)估內(nèi)容主要包括：

        （1）設(shè)施安全性評(píng)估：對(duì)信息系統(tǒng)的周邊環(huán)境、機(jī)房設(shè)施等進(jìn)行評(píng)估診斷。

        （2）網(wǎng)絡(luò)安全性評(píng)估：對(duì)系統(tǒng)所依賴的網(wǎng)絡(luò)進(jìn)行安全性評(píng)估，包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備等。

        （3）平臺(tái)安全性評(píng)估：對(duì)終端或服務(wù)器平臺(tái)進(jìn)行安全性評(píng)估診斷，包括硬件配置、操作系統(tǒng)、數(shù)據(jù)庫等。

        （4）數(shù)據(jù)安全性評(píng)估：對(duì)數(shù)據(jù)的完整、機(jī)密、可靠、可用等要素進(jìn)行評(píng)估。

        （5）應(yīng)用安全性評(píng)估：對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的安全性進(jìn)行測(cè)試和診斷，包括滲透性測(cè)試、攻擊測(cè)試、源代碼分析等。

        （6）安全管理評(píng)估：對(duì)系統(tǒng)的信息安全管理機(jī)制進(jìn)行調(diào)查和評(píng)估。

        （7）綜合風(fēng)險(xiǎn)評(píng)估：對(duì)設(shè)施、網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、管理等方面的安全性進(jìn)行綜合評(píng)估。

        3、評(píng)估實(shí)施流程

        前期準(zhǔn)備階段：

        （1）確定評(píng)估范圍

        （2）成立評(píng)估項(xiàng)目組

        （3）召開項(xiàng)目啟動(dòng)會(huì)

        （4）背景資料收集

        （5）確定評(píng)估方法

        （6）編制實(shí)施方案與計(jì)劃

        （7）準(zhǔn)備評(píng)估工具

        現(xiàn)場(chǎng)調(diào)查階段：

        （1）問卷調(diào)查

        （2）現(xiàn)場(chǎng)訪問

        （3）討論會(huì)議

        （4）技術(shù)測(cè)試

        風(fēng)險(xiǎn)分析階段：

        （1）威脅量化

        （2）脆弱性量化

        （3）影響量化

        （4）風(fēng)險(xiǎn)分析與評(píng)價(jià)

        安全策略階段：

        （1）確定安全需求

        （2）確定安全目標(biāo)

        （3）提出風(fēng)險(xiǎn)控制建議

        （4）協(xié)助實(shí)施風(fēng)險(xiǎn)控制措施 

        參考安全標(biāo)準(zhǔn)

        （1）ISO 13335-1 《IT安全管理指南 第1部分：IT安全概念和模型》

        （2）ISO/IEC 17799 《信息安全管理 實(shí)用規(guī)則》

        （3）信息保障技術(shù)框架——IATF

        （4）信息系統(tǒng)安全風(fēng)險(xiǎn)分析方法—— OCTAVE（Operationally Critical Threat, Asset,  and Vulnerability Evaluation）

        （5）國家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估指南》

二、信息安全管理體系建設(shè)（ISMS）服務(wù)

        威格顧問認(rèn)為服務(wù)ISMS咨詢服務(wù)是根據(jù)國際標(biāo)準(zhǔn)ISO/IEC 27001:2005，為組織建立完整的信息安全管理體系，以通過ISO/IEC27001管理體系認(rèn)證為目標(biāo)的咨詢服務(wù)。通過差距分析、風(fēng)險(xiǎn)評(píng)估、安全規(guī)劃等各種手段，對(duì)組織的11個(gè)控制方面，39個(gè)控制目標(biāo)和133項(xiàng)控制要素進(jìn)行安全控制，建立完善的信息安全管理體系，對(duì)內(nèi)從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件，對(duì)外樹立信息系統(tǒng)可靠性形象，滿足顧客要求，提高企業(yè)競(jìng)爭(zhēng)能力。

        1、服務(wù)內(nèi)容

        根據(jù)客戶需求不同，威格顧問可以為客戶提供多種咨詢服務(wù)。服務(wù)內(nèi)容主要包括：

        （1）建立信息安全管理體系

        （2）ISO/IEC27001認(rèn)證咨詢

        （3）ISO/IEC20000認(rèn)證咨詢

        （4）ISMS宣貫培訓(xùn)

        （5）風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理咨詢

        （6）ISMS文件編寫咨詢

        （7）ISO27001與ISO20000、ISO9001整合咨詢

        2、體系建立模型與方法

        （1）Plan規(guī)劃：根據(jù)組織業(yè)務(wù)運(yùn)作的安全需求，確定信息安全管理的范圍以及安全策略，建 立信息安全組織結(jié)構(gòu)，進(jìn)行現(xiàn)場(chǎng)調(diào)查及差距分析，通過風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)和方式，編寫ISMS體系文件，包括必要的流程和業(yè)務(wù)持續(xù)性計(jì)劃等工作。計(jì)劃階段最重要的部分是設(shè)定認(rèn)證涵蓋的范圍及區(qū)域。

        （2）Do實(shí)施：發(fā)布及實(shí)施ISMS。在實(shí)施階段中三零公司要協(xié)助組織實(shí)施安全策略、控制 措施、流程、規(guī)章制度，并準(zhǔn)備適用性報(bào)告。同時(shí)也需確保所有員工都了解信息安全的重要性，且確保其接受了適當(dāng)?shù)呐嘤?xùn)，及有能力執(zhí)行他們負(fù)責(zé)的安全工作。此外，還要積極協(xié)調(diào)所需的資源。

        （3）Check檢查：核查的目的是依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，對(duì)信息安全管理過程和信

息系統(tǒng)的安全進(jìn)行監(jiān)控和驗(yàn)證，并決策者報(bào)告結(jié)果。確?？刂拼胧┒家淹菩?，并能達(dá)到既定的目標(biāo)。該階段工作內(nèi)容主要包括內(nèi)部審核與管理評(píng)審。

        （4）Act處置：需要對(duì)核查結(jié)果采取適當(dāng)?shù)男袆?dòng)，采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績(jī)，

以達(dá)到對(duì)ISMS的持續(xù)改進(jìn)。