信息安全管理体系咨询PDCA模板

信息安全管理体系咨询PDCA资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。信息安全管理体系解决方案目录信息安全管理体系解决方案 1第一章安全风险评估服务 3第二章安全管理体系咨询 4第三章应用系统安全评估 5第四章敏感信息保护咨询 6第五章业务连续性咨询 8第六章IT审计服务 8第七章SDL开发安全咨询 9第八章ISO27001认证咨询 11第九章等级保护体系咨询 13第十章ISO20000认证咨询 14第十一章IT服务管理产品实施 15第十二章信息安全管理体系咨询 17第十三章技术方案 191、信息安全风险管理系统 192、合规管理系统——等级保护 203、合规管理系统——ISO27000 224、信息安全管理平台 23第十四章解决方案 251、金融行业解决方案 252、通信行业解决方案 273、央企解决方案 274、开发安全解决方案 275、大型企业解决方案 31

第一章安全风险评估服务GooAnn基于国际信息安全体系进行信息安全风险评估服务,协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。在企业实施信息安全管理之前的风险评估服务,能够帮助企业认识现状与信息安全标准及规范要求的差距,并能够协助客户制订改进规划。在需要时进一步提供信息安全保障体系或管理体系的咨询服务。价值提升:基于以上核心优势,GooAnn的风险评估服务为客户提供额外的附加价值,包括:基于行业风险知识库,评估的风险更加充分并具有针对性;基于全方位的风险评估,为客户识别IT组织规划、业务流程、信息系统及信息资产面正确IT风险;结合管理与技术的风险评估结果,能够帮助客户更加有效地识别安全隐患,风险评估结论能够用于建立管理制度,并经过建立针对于技术评估发现的技术风险的控制措施,真正将风险处理落到实处;GooAnn不但能够在风险评估中帮助客户发现问题,而且经过全面IT服务能力帮助客户真正解决涵盖IT治理、IT服务管理及信息安全方面的问题。为什么选择我们:GooAnn的风险评估服务具有不同于别家的特性和优势,以区隔一般的信息安全评估服务:基于不同行业,建立有基于GooAnn自主知识产权的IT风险管理软件的行业风险知识库;GooAnn的咨询服务涵盖IT内控、IT规划、软件开发、IT服务管理及信息安全。因此评估过程中,基于自身的综合IT管理咨询经验,能够更加充分有效地评估在组织结构、业务流程及信息资产等方面的信息安全风险,提供全方位立体的结论;GooAnn具有全面强大的后续服务能力,基于评估发现的风险,GooAnn能够提供IT规划、IT服务管理、软件开发及信息安全管理体系建设服务。第二章安全管理体系咨询GooAnn依据信息安全相关国际标准,提供信息安全保障体系与信息安全管理体系(ISMS)咨询和实施服务,从管理、技术、人员、过程的角度来定义、建立、实施信息安全体系,保障组织的信息安全”滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。价值提升:经过建立信息安全管理体系,明确安全管理对于业务促进的重要作用,使安全风险和责任意识从传统的IT部门扩展到企业每个员工,提高了安全管理的整体效率;经过PDCA过程方法和相应的组织保障体系,使企业安全管理从”无序、零散、被动”的风险补救行为转变为”系统、科学、连贯、主动”的风险驾驭状态;经过完善各类安全管理制度,使企业具有处理突发事件的能力,在制度上和管理上保证企业核心业务的可持续运行。经过建立统一的信息安全策略指导各业务部门在处理业务敏感信息方面的行为,防止机密信息泄露;为业务系统的设计、开发和运行维护方面提供统一的安全规则。信息安全管理体系(ISMS)体系的实施,不但能改进企业的安全风险水平,而且能让企业拥有可控的风险管理架构、方法和保障落实机制。正是因为拥有这套机制,才确保企业在不断变化的安全风险环境中,始终能够经过科学的方法和持续的改进,达到管理者可接受的安全风险水平。为什么选择我们:GooAnn由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、ITIL实施证书、CISA、CISM等。GooAnn顾问团队很好地把信息安全领域的专业技术及实践经验与以业务为驱动的管理咨询方法及体系实施特点有机结合在一起,即能够深入到细节,又能够站在高层次上全面而系统地看待问题。顾问式培训贯穿项目实施全过程。GooAnn与国内外的信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn也担任国内多家著名安全公司的安全管理咨询指导工作。是国内大型企业实施案例最多的咨询公司。我们的承诺:GooAnn参照信息安全管理体系相关国际标准,建立内部信息安全管理体系。顾问必须遵守GooAnn顾问职业道德规范保守客户商业机密。帮助客户建立一套能够完全符合企业实际需求的信息安全管理体系,培养企业内部信息安全人员及内部顾问,企业不会因为顾问结束服务后而不知如何实施与维护。第三章应用系统安全评估应用系统安全评估:从系统研发、身份鉴别、访问控制、流程安全、异常处理、备份与故障恢复、密码安全、输入输出合法性、安全审计、数据安全性十个方面评价应用系统的整体安全,发现应用程序在设计、运营和管理方面存在的安全风险,并提供具体的修改意见,确保应用系统自身的安全。业务流程安全评估:从企业的业务层面来看,信息安全应当不但仅是信息资产本身是否安全可靠,还要关注资产在其所运行的环境和经历的流程中保证安全,IT资产可能经历的流程有需要IT支撑的业务流程(如:跨部门业务处理流程),支撑业务过程的IT流程(即纵向IT过程,如:软件开发、测试和上线流程)。也有支撑IT本身的绩效及安全的IT流程(即横向IT过程,如变更管理过程)。经过风险评估,分析其可能存在的风险和对业务影响,提出了有针对性的风险处理办法,建立适用的IT流程控制目标,及这些控制目标对应的控制实施、控制原因及绩效属性,以便于对风险的精细化管理。价值提升:提高应用系统的安全性和稳定性,防止业务数据的丢失。规范客户的业务流程,优化客户的业务结构,有效提升客户的业务效率和降低客户的运营成本。核心优势:国内首家开展面向业务层面安全保障的服务商,成熟的方法论和多个典型的具有代表性的案例。第四章敏感信息保护咨询GooAnn敏感信息保护咨询,是在数据信息生命周期的各个环节,针对各类结构化、半结构化及非结构化的敏感数据,分析是否在数据获取、数据存储、数据使用、数据共享、数据归档、数据销毁过程中,可能由于技术缺陷、管理不到位、安全意识薄弱等原因,造成敏感数据泄漏事件的发生。价值提升:经过实施敏感信息保护咨询,能够根据存在的敏感信息保护风险,从策略管理与技术控制两个层面进行管控。全面分析信息泄露途径,实施各种安全控制措施,从而达到早预防早控制的效果。高度的适应性,能够根据客户的信息系统获取方式进行定制。GooAnn简化安全管理。明确敏感信息防护的部门和角色来执行,分工明确,责任落实,便于量化考核。为什么选择GooAnn:GooAnn由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、ITIL实施证书、CISA、CISM等。GooAnn顾问团队均具备十多年的安全经验,具备丰富的经验,既能够深入到细节,又能够站在高层次上全面而系统地看待问题。顾问式培训贯穿项目实施全过程。GooAnn与国内外的相关信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn也担任国内多家著名安全公司的安全管理咨询指导工作。是国内大型企业实施敏感数据保护案例最多的咨询公司。第五章业务连续性咨询GooAnn基于BS25999及BCI(BusinessContinuityInstitute)BusinessContinuityGuide提供业务连续性管理咨询服务。内容包括日常运作流程设计、危机管理和大型灾害的应对计划和策略,业务持续性管理团队建设和咨询等诸多方面的服务,能够帮助客户从技术、流程、人员三方面提高业务持续能力,保证企业的正常运作和发展,不但仅包括灾难恢复、危机管理、风险管理,也不但仅是一个IT问题,而是企业整体运营战略的一部分。它的建立包括重新审视企业的组织结构操作流程,发现其中不能适应意外风险和灾难的弱点,经过改进和提高这些结构和流程来避免企业业务运行的中断和丢失。经过对企业业务的深入评估,GooAnn与客户高层一起进行业务影响分析,并经过业务需求与客户一起识别业务连续性目标,诸如MTO(MaximumTolerableOutage)、RTO(RecoveryTimeObjectives)以及RPO(RecoveryPointObjectives)等关键指标。在业务连续性风险评估后,与客户一起建立业务连续性计划,并指导进行演练,最终协助客户建立业务连续性管理体系。价值提升:GooAnn与金融系统灾备中心建立有紧密合作关系。不但能够为客户提供业务连续性管理体系建设服务,而且能够与合作伙伴一起帮助客户基于业务连续性计划建立灾备中心,真正帮助客户把业务连续性管理落到实处。为什么选择我们:GooAnn拥有自己的业务连续性管理专家,精通BS25999标准要求,而且具有实际建立业务连续性体系的实施经验。第六章IT审计服务IT控制审计服务的目的就是根据组织的业务需求及相关法律法规要求,在Cobit框架下,参照与IT相关的具体控制标准、指南或最佳实践,从实体、IT流程、IT资源三个层面出发,采用访谈、核查、测试等信息收集手段,分析评价IT系统及其相关业务应用是否满足相关法规制度、标准指南及最佳实践要求,并针对不符合部分提出改进建议。IT控制审计服务包括内部审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤,共分四个阶段,各个阶段说明如下:为什么选择我们:GooAnn合规部门拥有一支具有丰富的国内外IT治理、IT风险控制及信息安全咨询经验的专家顾问团队,主要由国际大型咨询顾问公司(毕马威/毕博/安永/埃森哲)及国内大型信息安全厂商公司人员组成。拥有国内最大的信息安全培训公司和完善的知识库体系。拥有自主研发的IT风险管理软件,提升项目实施效率降低了客户投入费用。拥有众多实施案例。国内最大的IT审计培训机构,拥有国内最强的IT审计的师资力量。第七章SDL开发安全咨询GooAnn公司SDL开发安全咨询重点参考了微软SDL相关推荐文档1和《GB/T20274信息安全技术信息系统安全保障评估框架》,为客户建立全面的信息系统生命周期安全保障体系框架。框架将考虑到各种信息系统的获取方式以及客户内部的组织机构特点,能够进行多种定制,具有高度的适应性。实施保障体系能够为客户明确信息系统生命周期各阶段的各种安全保障流程,方法,活动,以及实施这些流程,方法,活动的组织机构建设和责任划分。价值提升:经过建立SDL开发安全体系,能够为信息系统提供全生命周期安全。安全保障贯穿信息系统生命周期始终,覆盖信息系统生命周期各项活动。为用户节省安全成本。能够在信息系统开始规划阶段就会全面考虑系统安全问题,实施各种安全控制措施,从而达到早预防,节省成本的效果。高度的适应性,能够根据客户的信息系统获取方式进行定制。简化安全管理。实施SDL后,信息系统生命周期各阶段的安全活动有明确的部门和角色来执行,分工明确,责任落实,便于量化考核。为什么选择我们:GooAnn由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、ITIL实施证书、CISA、CISM等。GooAnn开发安全顾问团队具备十多年的安全开发经验,具备丰富的经验,既能够深入到细节,又能够站在高层次上全面而系统地看待问题。顾问式培训贯穿项目实施全过程。GooAnn与国内外的相关信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn也担任国内多家著名安全公司的安全管理咨询指导工作。是国内大型企业实施开发安全案例最多的咨询公司。第八章ISO27001认证咨询GooAnn参照ISO27000信息安全管理体系国际标准,为企业提供信息安全管理体系实施服务,并获得相关信息安全证书,以专业的服务精神帮助企业建立符合国际标准要求的信息安全管理体系。价值提升:经过ISO27001认证能保证和证明组织所有的部门对信息安全的承诺。经过ISO27001认证可改进全体的业绩、消除不信任感。获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。建立信息安全管理体系能降低这种风险,经过第三方的认证能增强投资者及其它利益相关方的投资信心。组织按照信息安全体系相关标准建立信息安全管理体系,会有一定的投入,可是若能经过认证机关的审核,获得认证,将会获得有价值的回报。企业经过认证将能够向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改进,并以此作为增强信息安全性的依据、信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。经过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。为什么选择我们:与认证机构的紧密沟通,与中国信息安全认证中心、BSI、DNV、BV、等国际、国内著名的认证机构建立了战略合作关系。GooAnn多名顾问是国外认证公司的兼职审核员。GooAnn由一批高素质、专业化的骨干力量凝聚而成,顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、BS7799主任审核员、CISA、CISM、ITIL证书等。GooAnn顾问团队很好地把信息安全领域的专业技术及实践经验与以业务为驱动的管理咨询方法及体系实施特点有机结合在一起,即能够深入到细节,又能够站在高层次上全面而系统地看待问题。顾问式培训贯穿项目实施全过程。GooAnn与国内外的信息安全产品与解决方案提供商保持着良好的沟通,了解业界最新的技术动态和最新的成果,同时GooAnn也担任国内多家著名安全公司的安全管理咨询指导工作。是国内大型企业ISO27001认证咨询实施案例最多的咨询公司。我们的承诺:GooAnn参照相关标准,建立内部信息安全管理体系。顾问必须遵守GooAnn顾问职业道德规范保守客户商业机密。专业顾问协助企业共同拟定推动计划,并定期进行进度跟踪、检查与改进。协助经过信息安全国际标准ISO27001:的认证。第九章等级保护体系咨询依照国家等级保护制度,帮助客户达到体系化的安全保障水平,采用体系化和等级化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。价值提升:建立一套持续运行、涵盖所有安全内容的安全保障体系等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求整体性:结构化,系统化,内容全面针对性:针对实际情况,符合业务特性和发展战略持续性:可持续发展和完善,持续运行为什么选择我们:GooAnn顾问参与等保标准的制定,对等保标准有深刻理解与实践。与公安部和业务知名等保专家紧密沟通,及时了解等保相关最新动态。第三方公司客观公正为客户提供产品解决方案。有来自各大信息安全厂商顾问,对信息安全产品集成有丰富经验。我们的承诺:GooAnn参照信息安全国际标准,建立内部信息安全管理体系。顾问必须遵守GooAnn顾问职业道德规范保守客户商业机密。我们的解决方案以客户利益出发,GooAnn做为第三方咨询公司绝不参与信息安全技术产品销售。第十章ISO0认证咨询提供基于PDCA用方法和相关国际标准的IT服务管理体系建设服务,并结合认证机构提供IT服务管理体系咨询服务,改变企业IT管理现状,提升企业IT管理水平,提升市场竞争力。价值提升:获得ISO0相关证书:意味着您的组织达到了世界公认的领先的IT服务管理标准。意味着您的服务管理采用于IT服务管理最佳实践,确保为客户提供有效的、可靠的IT服务。经过实施IT服务管理体系相关标准,能够有效改变企业IT管理现状,提升企业IT管理水平,使企业IT部门由被动转化为主动,而且还可获取大量的业务和财务受益。ISO0标准还有助于在既定资源约束下为客户提供优质的服务以满足她们的业务需求,如专业、成本效益和风险受控的服务。为什么选择我们:与认证机构的紧密沟通,与BSI、DNV、BV、中国信息安全认证中心等国际、国内著名的认证机构建立了战略合作关系。GooAnn多名顾问是国外公司的兼职审核员。GooAnn一直致力于IT服务治理、风险控制、信息安全等在各个行业的应用,拥有数位资深顾问,拥有在金融、通讯、能源、制造业、BPO等各行业的成功实施经验,且能够结合客户自身特点,提供不同的咨询指导方式,帮助客户建立基于国际相关标准的IT服务管理体系,并有效地和客户原有管理模式和管理体系进行融合,使流程高效率低投入的运转。第十一章IT服务管理产品实施依据ITIL、等国际标准,吸取业界广泛采用的IT管理、运营与规划领域的核心理念、方法论和最佳实践,为我们的客户提供完整的IT服务管理(ITSM)咨询和实施服务,降低服务成本、提高服务质量。价值提升:应用IT服务管理体系能够使组织建立起一套IT服务管理的最佳流程,从而系统地、有序地提供管理服务,为组织带来以下益处:有效地管理服务以满足客户和业务需求获得权威认证机构(由itSMF认可)颁发的证书,能够提升市场竞争优势建立透明、优化的组织架构,降低IT运营成本将服务管理与整体业务流程相结合对服务管理进行测评及控制建立清晰的、集中的关于服务流程和常规实践的文件系统使员工提高对服务管理责任的理解定期评估服务管理流程,维护和改进其有效性有效的业务持续性管理广泛认可的IT服务管理实践易于和其它管理体系整合为什么选择我们:GooAnnITIL部门合伙人都是国内最早从事ITIL咨询和培训的专家。顾问都是来自BSI、IBM、西门子等业内知名企业。都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验,同时具备诸多国际上最为认可的高级资质,包括CISSP、IT服务管理体系主任审核员、ITIL实施证书、CISA、CISM等。顾问式培训贯穿项目实施全过程。我们的承诺:GooAnn参照IT服务管理体系相关标准,建立内部信息安全管理体系。顾问必须遵守GooAnn顾问职业道德规范保守客户商业机密。建立一套能够完全符合企业实际需求的IT服务管理体系,培养企业内部顾问,企业不会因为顾问结束服务后而不知如何实施与维护。第十二章信息安全管理体系咨询信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求,采用PDCA的过程模型,经过基于资产的风险评估,帮助客户建立文件化的信息安全管理体系,辅导客户在其组织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行,提高服务竞争力,最终促进客户业务的开展。信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段,各个阶段如图所示:第十三章技术方案1、信息安全风险管理系统显著提高信息安全风险工作效率轻松成为信息风险管理专家产品简介:信息安全风险管理系统(Goo-ISRM),经过信息化手段,在综合考虑成本效益的前提下,经过安全措施控制风险,使残余风险降低到组织能够接收的程度。本系统依据国内外有关信息安全相关标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,从信息资产、信息系统、业务流程等多个维度,评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。风险管理的意义和作用在于发现和识别组织所有潜在的信息安全风险,经过科学统一的、可重复比正确方法论进行分析评价,进而为信息安全的投资、信息安全措施的选择、信息安全保障体系的建设做出合理的决策。风险管理工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。信息安全风险管理系统(Goo-ISRM)不但把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还能够完成一些人力无法完成的工作。该软件的风险评估和风险管理过程既满足国际标准ISO27001、ISO27002和ISO27005的要求,也满足国家标准GB20984《信息安全风险评估规范》的要求,以及公安部等级保护测评要求。信息安全风险管理系统(Goo-ISRM)的内部结构模块如下图所示:产品特点:*专业丰富的知识经验库:GooAnn-信息安全风险管理系统汇聚了专家顾问多年的行业经验,形成了专业丰富的知识经验库,使得用户无需具备较高专业知识也能够开展信息安全风险管理工作,降低了信息安全工作的门槛,提高信息安全工作的效率。*化繁为简的评估流程:GooAnn-信息安全风险管理系统将复杂的风险评估流程固化到系统之中。*高效可靠的风险管理:GooAnn-信息安全风险管理系统充分利用信息化手段来提高风险管理的工作效率,保障风险管理工作的质量。*持续有效的风险管控:GooAnn-信息安全风险管理系统中能够便宜的管理着历次的信息安全风险评估结果,清晰的了解风险变化趋势,准确的查阅出风险的控制措施和责任人员,实现持续有效的风险管控。*清晰多样的效果展示:GooAnn-信息安全风险管理系统中清晰多样的展现了组织当前的风险情况。给用户带来的收益:*帮助企业轻松完成复杂的资产统计、风险评估工作,最大程度的为企业降低风险评估工作管理成本并提高效率。2、合规管理系统——等级保护对国家基本制度——等级保护建设工作的创新推动产品简介:等级保护合规管理系统是谷安天下根据国家信息系统等级保护标准研发的管理系统平台,专为等级保护项目的建设过程和管理过程提供工具和知识支持。该软件平台满足*GB/T22239-《信息安全技术信息系统安全等级保护基本要求》*GB/T22240-《信息安全技术信息系统安全等级保护定级指南》*《信息安全技术信息系统安全等级保护测评要求》(报批稿)*《信息安全技术信息系统等级保护测评过程指南》(报批稿)*《信息安全技术信息系统等级保护实施指南》(报批稿)系统根据等级保护建设项目流程,分为等级、备案、现状调研、差距分析、体系建设、报告与报表等功能模块,提供数据信息管理、表单方案报告自动生成和数据汇总分析支撑。产品特点:*为信息系统等级保护建设工作提供全方位工具支撑*加强信息系统等级保护建设工作的规范性,降低专业难度*减少信息系统强等级保护建设工作的工作量*将信息系统强等级保护建设工作过程、管理、工具一体化*以等级保护知识库为现状调研、差距分析、体系建设的核心基础给用户带来的收益:*帮助企业在等级保护项目建设中降低管理成本,提高管理效率,增进管理效果3、合规管理系统——ISO27000有条不紊,让ISO27000合规不再无序产品简介:合规管理系统-ISO27000是谷安天下根据国际标准ISO27000而研发的管理系统软件,专为信息安全管理体系的建设和认证过程的管理提供信息化工具和知识支持。该软件平台满足:*GB/T20984-《信息安全技术信息安全风险评估规范》*GB/T18336—《信息安全技术信息技术安全性评估准则》*GB/T19715.1-《信息技术信息技术安全管理指南》*NISTSP800-26《信息技术系统安全自评估指南》*NISTSP800-30《信息技术系统风险管理指南》*IDTISO/IEC27001:《信息技术安全技术信息安全管理体系要求》*IDTISO/IEC27002:《信息技术安全技术信息安全管理实用细则》系统根据信息安全管理体系建设流程,包括:基本信息、差距评估、风险评估、整改追踪、ISMS内审、ISMS文件管理、报告与报表等功能模块以及ISMS知识库,支持组织开展信息安全管理体系合规工作流程。系统提供数据信息管理、表单方案报告自动生成和数据汇总分析支撑。产品特点:*为信息安全管理体系建设工作提供全方位工具支撑*加强信息安全管理体系建设工作的规范性,降低专业难度*减少信息安全管理体系建设工作的工作量*将信息安全管理体系建设工作过程、管理、工具一体化*以ISMS知识库为差距评估、风险评估、体系建设、体系文档的编写提供知识基础给用户带来的收益:*帮助企业在信息安全管理体系建设中降低管理成本,提高管理效率,增进管理效果4、信息安全管理平台国内首创,治理-风险-合规类平台产品(GRC)产品简介:谷安天下提供的信息安全管控工作平台是一款帮助企业建立、发布、执行与审核信息安全工作的平台工具,能够有效促进企业信息安全体系的建设与落地执行。该解决方案能够使组织采用信息化和自动化的方法在全组织范围内开发、维护和检查安全工作和安全管控措施的执行状况。G(治理)信息安全管控工作平台支持信息安全管理工作的计划-执行-检查-改进(PDCA)四个阶段的工作过程:在计划阶段,系统帮助管理部门建立安全管控体系,经过5P法(人员-规章制度-实施流程-产品工具-执行记录)规划具体安全工作,落实到各个部门;在运行阶段:系统支持安全管控体系的运行,下发安全工作到各个部门并确认,定期/不定期发起安全工作自评估工作;在检查阶段,系统支持开展安全检查工作,系统提供检查单,检查辅助等功能,来检验安全管控体系的落实情况;在改进阶段,针对自评估、安全检查、风险控制等发现的问题都要进行跟踪,确保整改得以落实,同时针对整改完成后及时反馈至安全管控体系,这样形成闭环管理,并始终在改进同一个安全管控体系。R(风险)信息安全管控平台在风险管理方面经过风险环境定义,风险识别与评价,整改跟踪,风险监控四个功能,来识别、管理、控制、监控企业内的风险,形成了风险管理闭环。C(合规)信息安全管控平台在合规管理方面经过建立相关法律法规、行业要求、行业规范与组织安全管控体系之间的映射,实现动态合规,动态生成合规视图。产品功能视图:产品特点:*为安全管理工作的各个角色设计了不同的功能和使用界面,使客户在组织结构上自上到下实现安全管控体系的落地;*集成协作和工作流引擎能够在可控的条件下实现安全管控体系的实施和落地,;*内置强大复杂的知识库,安全管控体系最佳实践库,自动映射的合规库,安全检查知识库等;*强大的分析和报告与图形仪表板,对每项安全工作进行全程跟踪管理,让管理人员经过系统的完全可视性,实现治理、风险与合规的全面掌控。给客户带来的价值:*帮助组织快速建立管控体系*推动管控体系落地,实现P-D-C-A改进过程*规范安全检查/审计工作*动态合规,极大简化管理者和执行者工作*有效管理和监控风险第十四章解决方案1、金融行业解决方案银行方案背景:当前,银行监管部门对IT风险监管的要求越来越高。在银行的企业风险管理中,银行三大风险分别为信用风险、市场风险和操作风险,当前IT风险已经成为操作风险的重要组成部分,监管部门针对银行IT风险近年来出台了多个的监管规范。3月银监会发布新版《商业银行信息系统风险管理指引》,系统地对银行IT风险的控制提出了基本要求,涉及信息科技管理的各个业务领域,重点提出了IT治理机制、IT风险管理的制度与流程、IT运维、应用开发、IT审计、客户数据保护方面的管控要求,能够有效地指导商业银行系统地对IT风险进行管理。银监会还将正式发布《商业银行信息科技治理建设指导意见》、《业务连续性监管指引》、《外包监管指引》等专项指引,以指导商业银行全方位推进IT风险管理工作。近年来,人民银行陆续发布了《银行信息系统信息安全等级保护实施指引》、《银行信息系统信息安全等级保护测评指南》等,对商业银行的信息安全提出的明确的要求。另外,根据监管部门的规划,银行IT风险年度评级要纳入银行整体评级之中,银监会在十二五规划中还提出了”科技引领业务发展”的要求,包括IT风险在内的银行操作风险将变得和信用风险、市场风险一样重要,IT风险管理将得到银行高级管理层的真正重视。考虑到国内银行IT管理的成熟度普遍较低,因此,在未来8~内,国内银行界将掀起轰轰烈烈的IT风险管理热潮。方案内容:因此,在银行业信息科技风险体系建设时,要考虑到设计与建立适宜的科技风险管理体系与有效的IT内控制与信息安全控制机制,建立与巴塞尔新资本协议所要求的操作风险的接口,同时探索建立与信息科技风险相关的操作风险评估的实现方法。证券方案背景:随着证券行业与业务的发展,业务资料的机密性、完整性及可用性对证券公司越来越重要。用户网上交易量的巨增,跨行业、跨市场、跨境大量业务的出现,需要更多地使用互联网进行在线交易和数据交换,因而,证券机构由于安全隔离不充分而面临的外部入侵风险将越来越大。一旦由于内部疏忽和外部入侵造成了业务敏感信息泄露,不但造成证券公司的重大经济损失,而且对公司的声誉造成了极大的负面影响,这是证券公司当前普通面临的严峻挑战。另一方面,为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,证监会根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定并发布了《证券期货业信息安全保障管理办法(征求意见稿)》。因此建立一整套适合证券行业的信息系统安全体系,并能够切实可行地贯彻在证券行业IT相关工作的各个环节,成为信息安全建设的战略目标。保险方案背景:现代保险业的运转对信息化的依赖程度与日俱增,信息化不再只是一种辅助的手段,而是已成为保险机构的大动脉,一旦断裂,不但使保险机构遭受巨额经济损失,降低企业自身的声誉,而且将不可避免地对整个保险业的发展带来信任危机。随着中国保险业快速发展,保险公司信息化建设的需求和实践更加深入。因此,加强对保险业的信息安全建设,是保障保险业安全、稳健发展的现实需要。保险业是信息密集型行业,保险信息系统作为国家重要信息系统之一,其信息安全和网络安全面临着严峻的考验。一旦信息安全受到损害,将严重扰乱国家经济秩序,威胁国家金融安全,而且由于保户数量巨大,将不可避免地损害广大被保险人的切身利益。当前,各保险机构对于信息安全问题都给予重视和投入,并建立了信息安全管理办法。但由于各保险机构在规模实力、信息技术力量方面有很大差别,信息安全管理水平参差不齐,各保险机构的信息安全建设状况差别较大。缺乏统一规范和指导,保险业信息安全管理的整体水平有待提高。2、通信行业解决方案方案背景:在电信运营市场竞争日趋激烈,通信技术不断更新发展,客户及市场日渐成熟的新形式下,中国移动、中国电信、中国联通均提出了加强企业信息化安全的总体目标,狠抓企业内部的信息安全建设,实现”以业务为导向、以客户为中心、以安全为保障”的服务模式。网络与信息安全保障体系建设是一个长期的建设和改进过程,也需要有一定的衡量指标来度量网络与信息安全保障体系建设是否达到一定的水平,并以此作为改进的机会和方向。我们结合运营商行业集团要求、国内外标准及业界最佳安全实践为运营商量身定制了信息安全解决方案。3、央企解决方案方案背景:当前国有中央企业信息化建设逐步完善,ERP、财务、预算、资金、决策支持、OA等各类主线业务系统陆续上线运行,对央企IT基础设施以及信息系统的支撑能力提出了更高的要求,也日益暴露出潜在的信息安全风险和隐患,需要从权威性、专业性和全面性出发,分析梳理信息安全现状,对存在的各类风险和隐患进行科学评估,并制定后续整改方案。 同时,国资委对中央企业的信息化水平评价指标中,信息安全、IT服务、IT审计都是重要的指标项。近年来,国资委对信息安全管理、商业秘密保护、企业内部控制等都提出了明确的监管要求。4、开发安全解决方案软件开发安全方案背景:应用软件占据了所有漏洞的92%”–NIST”在过去中,那些重要应用软件的缺陷每年增长43%”–CERT”75%的黑客攻击发生在应用软件层面”–Gartner”对Internet系统的攻击每隔39秒发生一次”–UniversityofMaryland以上这些权威数字清晰表明两方面的结论:应用软件在漏洞比例中占据了绝正确比重,而且呈现快速增长趋势应用软件已经成为黑客攻击的主要目标近年来,国内外发生了许多由系统缺陷引发的重大信息安全事件层出不穷,让我们不得不正视应用安全问题。这些信息安全事件不但给相关公司在市场上造成了重大不良影响,事后的声誉弥补和系统修复花费了大量的人力,物力和财力。那么是否存在一种方法对这种情况进行改观呢?它既能大量减少花费,又能在系统生产阶段规避或大量减少这些信息安全事件.事实上,业界给出了一致的答案--安全开发。安全开发是由微软、思科等软件业巨头在实践中总结提炼而出,是一种系统化的,成效卓著的应用安全解决方案,她将一系列的安全活动、安全管理实践和安全开发工具系统化的结合在一起,将应用软件中主要的安全漏洞在开发阶段予以解决。软件开发中的安全问题人员的问题:绝大多数的开发人员不具备安全需求分析,安全架构设计,安全编码和安全测试的能力,安全意识亦十分淡薄。管理的问题:大多数的应用开发过程缺少安全关注,没有相应环节对安全问题进行研究和评审把关,忽视安全过程管理。工具的问题:大多数的公司在开发过程中,没有使用相应安全工具,如威胁建模工具,代码自动化扫描工具等,无法有效发现和解决安全漏洞。在一些拥有安全开发工具的公司,其使用效率和有效性低下,亟待提高。GooAnn软件开发安全解决方案:SDL开发安全咨询SDL开发安全咨询重点参考了微软SDL相关推荐文档和《GB/T20274信息安全技术信息系统安全保障评估框架》,为客户建立全面的信息系统生命周期安全保障体系框架。框架将考虑到各种信息系统的获取方式以及客户内部的组织机构特点,能够进行多种定制,具有高度的适应性。实施保障体系能够为客户明确信息系统生命周期各阶段的各种安全保障流程,方法,活动,以及实施这些流程,方法,活动的组织机构建设和责任划分。源码安全测试服务源码安全测试发现代码构造期间引入实现级别的安全漏洞,并为这些编码错误建议补救措施。代码审查对现有代码库进行分析,并对导致安全漏洞的代码构造进行定位。我们的专业安全团队将静态分析工具和"眼睛"手动审查相结合来尽可能揭示所有的可能存在的漏洞。源码测试能够在以C,C++,C#,VB,VB.Net,Java,ABAP语言以及包括Ruby,PHP,AJAX,和Perl在内的各种Web技术编写的应用程序下运行。代码审查的结果应以一份详细报告表现出来,概述代码问题,并提出提高安全性的修复方案。从而使开发团队能够更好地了解代