,

J38uQ0T

隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。

就目前申報企業(yè)數(shù)量由多到少依次排序為：安全集成—安全運維--風險評估---應急處理---軟件安全--災難備份與恢復。其中傳統(tǒng)的信息化企業(yè)有集成和運維業(yè)務(wù)企業(yè)大多選擇申請安全集成和安全運維。風險評估和應急處理對企業(yè)從業(yè)經(jīng)驗成功項目案例實施有更專業(yè)的要求，需要根據(jù)不同的項目詳細分析。

第一：安全集成服務(wù)資質(zhì)

1、工具和技術(shù)手段：漏洞檢測工具，配置基線核查、源代碼審計等等;

2、業(yè)績項目和規(guī)范：項目中要有信息安全服務(wù)的流程和規(guī)范；實施的信息安全服務(wù)項目案例，而且案例中所體現(xiàn)的信息安全服務(wù)過程能夠符合《信息安全服務(wù)規(guī)范》的要求；申請三級需要對應專業(yè)2個項目，申請二級需要近三年的6個項目；

3、公共管理和安全集成專業(yè)方向與評估表對標。

（一）公共管理包含；法律地位、財務(wù)資信、辦公場所、人員要求、服務(wù)管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設(shè)要求），技術(shù)工具要求等；

（二）項目業(yè)績：信息安全服務(wù)資質(zhì)對企業(yè)在對外開展信息安全服務(wù)的一些關(guān)鍵環(huán)節(jié)和過程，也有相應的要求；要將公司現(xiàn)有的業(yè)務(wù)模式，與資質(zhì)的要求進行融合，并按照資質(zhì)規(guī)范的要求，形成相應的對標輸出；

4、安全集成項目階段：集成準備方案設(shè)計建設(shè)實施和安全保障四個階段要在傳統(tǒng)系統(tǒng)集成項目實施過程中融入“安全性”思維，并貫穿集成項目實施的整個過程，不能是單獨的設(shè)備采買和安裝，要把“安全性”思維貫穿始終，保證交付客戶的集成項目不應僅僅是“可用”的，而且應該是“高安全性、低風險的”。

5、適合申請安全集成的組織類型：

目前的經(jīng)營范圍包括集成項目實施的組織：

? 致力于提供高品質(zhì)集成服務(wù)的組織，不再定位自身僅僅是“賣設(shè)備”的組織；

? 所開展的項目類型為硬件集成、軟件集成、軟硬件集成三種形式均可，但項目的主要環(huán)節(jié)需要覆蓋需求分析、方案設(shè)計、建設(shè)實施、安全保障四個主要環(huán)節(jié)。

第二：安全運維服務(wù)資質(zhì)

1、什么是安全運維

通過技術(shù)設(shè)施安全評估，技術(shù)設(shè)施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進行信息系統(tǒng)的安全運維工作，以發(fā)現(xiàn)并修復信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。隨著信息系統(tǒng)運行，其自身存在的脆弱性和面臨的威脅都在發(fā)生變化，安全運維就是在系統(tǒng)運行期間，不斷發(fā)現(xiàn)問題和解決問題，并優(yōu)化安全策略，建立防護、檢測和恢復的閉環(huán)安全機制，保證業(yè)務(wù)系統(tǒng)持續(xù)安全。

2、業(yè)績項目和規(guī)范

1.集成項目實施完成后，希望能夠為客戶提供長期運維服務(wù)的組織；

2.所開展的運維項目類型為硬件運維、應用系統(tǒng)運維、或硬件與應用系統(tǒng)運維均可，項目的主要環(huán)節(jié)需要覆蓋需求分析、方案設(shè)計、運維實施、運維服務(wù)報告編寫等階段；

3、公共管理和安全運維專業(yè)方向與評估表對標；

1. 公共管理包含；法律地位、財務(wù)資信、辦公場所、人員要求、服務(wù)管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設(shè)要求），技術(shù)工具要求等；

2. 項目業(yè)績：信息安全服務(wù)資質(zhì)對企業(yè)在對外開展信息安全服務(wù)的一些關(guān)鍵環(huán)節(jié)和過程，也有相應的要求；要將公司現(xiàn)有的業(yè)務(wù)模式，與資質(zhì)的要求進行融合，并按照資質(zhì)規(guī)范的要求，形成相應的對標輸出；

3.安全運維項目：避免選擇純硬件維護或者純軟件維護的項目，典型項目應該涉及預警、防護、檢測和恢復等環(huán)節(jié)的內(nèi)容。

4.安全運維的項目階段：運維設(shè)計實施運維方案設(shè)計服務(wù)實施（信息系統(tǒng)配置管理數(shù)據(jù)庫、安全配置庫、配置檢查記錄日志保存記錄與日志審計分析記錄、報告；漏掃記錄、安全加固記錄、補丁安裝記錄、病毒查殺記錄等）。

4、適合申請安全運維的組織類型：

在傳統(tǒng)IT運維項目實施過程中融入“安全性”思維，并貫穿運維項目實施的整個過程：

1.針對客戶安全運維需求的挖掘與分析；

2.能夠?qū)踩枨笤谶\維方案中進行落地；

3.在運維服務(wù)開展過程中，通過多種手段（資產(chǎn)梳理、配置優(yōu)化、漏洞檢測、安全審計、狀態(tài)監(jiān)控、滲透測試等），能夠發(fā)現(xiàn)問題和隱患，控制風險，使運維對象的信息安全風險保持在偏低水平；

4.針對運維服務(wù)過程中發(fā)現(xiàn)的問題能夠及時閉環(huán)處理、分析總結(jié)。

第三：信息安全風險評估

1、什么是風險評估

? 依據(jù)國際或國家標準中明確的風險計算模型，來對所評估對象目前所存在的信息安全風險進行分析的服務(wù)過程；

? 服務(wù)過程可主要分為評估對象的業(yè)務(wù)流程分析、資產(chǎn)分析、威脅分析、脆弱性分析、風險分析、風險處置等階段；

? 通過現(xiàn)場實地觀察、人員訪談、技術(shù)測試、數(shù)據(jù)分析等實施方法；

? 服務(wù)過程往往需要依靠專業(yè)檢測工具來輔助；

2、哪些企業(yè)適合申請風險評估

? 致力于對外提供安全咨詢、安全檢測與加固、風險分析、IT治理等服務(wù)的組織；

? 希望作為中立的第三方，向需求方提供服務(wù)的組織；

3、風險評估工具

基于技術(shù)的工具：

掃描工具：包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；

入侵檢測系統(tǒng)（IDS）：用于收集與統(tǒng)計威脅數(shù)據(jù)；

滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；

主機安全性審計工具：用于分析主機系統(tǒng)配置的安全性；

信息安全服務(wù)資質(zhì)申請要素之四：公共管理和安全運維專業(yè)方向與評估表對標；

4、公共管理和項目要求

（1）公共管理包含；法律地位、財務(wù)資信、辦公場所、人員要求、服務(wù)管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設(shè)要求），技術(shù)工具要求等。

（2）項目說明：

? 在信息安全管理體系中涉及到了風險評估的相關(guān)概念，在信息安全服務(wù)資質(zhì)也涉及到了風險評估，兩者在能力要求和方法論上是一致的。

? 具備跟蹤、驗證信息安全漏洞的能力。

? 三級：至少有一個完成的風險評估項目，該系統(tǒng)的用戶數(shù)在1,000以上；具備從管理或（和）技術(shù)層面對脆弱性進行識別的能力。具備跟蹤信息安全漏洞的能力。

? 二級：針對多種類型組織，多行業(yè)組織，至少完成一個風險評估項目，該系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術(shù)層面對脆弱性進行識別的能力。具備跟蹤、驗證信息安全漏洞的能力。

第四：信息安全應急處理服務(wù)資質(zhì)

1、應急處理的幾個階段

2、什么是應急處理項目

（1）盡量選擇真實發(fā)生的安全事件的應急而不是應急演練類項目；

（2）選擇的案例盡量是網(wǎng)絡(luò)信息安全類事件的應急；

（3）盡量不選擇預防性的應急案例，這種案例一般不能很好體現(xiàn)應急事件的臨場分析、處置能力。

第五：軟件安全開發(fā)服務(wù)資質(zhì)

1、軟件安全開發(fā)服務(wù)資質(zhì)

通過對軟件開發(fā)過程的控制，將開發(fā)的軟件存在的風險控制在可接受的水平。

軟件安全開發(fā)資質(zhì)認證是對軟件開發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過程能力等方面進行評價。安全軟件開發(fā)服務(wù)資質(zhì)級別是衡量服務(wù)提供方的軟件安全開發(fā)服務(wù)資格和能力的尺度。資質(zhì)級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。

2、軟件開發(fā)要有哪些內(nèi)容

安全需求分析；

安全設(shè)計落實安全需求；

安全編碼過程實現(xiàn)安全設(shè)計；

安全測試檢驗安全功能；

試運行，監(jiān)測安全功能正常發(fā)揮作用；

持續(xù)為所開發(fā)的系統(tǒng)提供版本升級、打補丁等維保服務(wù)；

3、軟件安全開發(fā)各個階段

準備階段-開發(fā)管理計劃、風險管理、配置管理，變更管理；

需求階段--需求分析調(diào)研項目背景信息，收集項目需求，明確軟件功能、性能及安全方面的要求；

設(shè)計階段--軟件設(shè)計說明書；

編碼階段--安全編碼，代碼審查；

測試階段一級二級要求；

驗收階段--系統(tǒng)試運行；

第六：信息系統(tǒng)災難備份與恢復

1、機房場地和選址要求

　機房場地要求

（1）災備中心所在地域抗震設(shè)防烈度，該中心抗震設(shè)防類別。

（2）高架地板面積不低于1000/2000/5000平米。

（3）災備中心建筑耐火等級。

（4）災備中心建設(shè)等級滿足國標A級或國際T3以上機房要求。

（5）災備中心的場地應自有產(chǎn)權(quán)，或者簽署有剩余期限不少于5年的長期租賃合同

2、選址要求

災難備份中心與生產(chǎn)中心同時遭受同類風險具備通信、電力資源和交通條件統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合。

（1）穩(wěn)定的自然環(huán)境

（2）便捷的交通環(huán)境

（3）安全的區(qū)域環(huán)境

3、災備中心要求

基礎(chǔ)設(shè)施要求：計算機機房應符合有關(guān)國家標準工作輔助設(shè)施和生活設(shè)施要符合災難恢復目標的要求；

抗震設(shè)防要求：按國家規(guī)定的權(quán)限批準作為一個地區(qū)抗震設(shè)防的地震烈度稱為抗震設(shè)防烈度。一般情況下，抗震設(shè)防烈度可采用中國地震參數(shù)區(qū)劃圖的地震基本烈度。

耐火等級：是衡量建筑物耐火程度的分級標度。它由組成建筑物的構(gòu)件的燃燒性能和耐火極限來確定；

機房場地要求：新風換氣系統(tǒng)，機房內(nèi)正壓，確保機房潔凈度。

氣體滅火的消防系統(tǒng)，并具備早期報警系統(tǒng)/溫感和煙感系統(tǒng)兩級報警。

消防要求:設(shè)施阻燃設(shè)計、消防報警器、滅火裝置、監(jiān)控與報警等等。

機房場地要求：機房門禁管理制度和訪問控制程序，如7×24小時門禁\閉路電視監(jiān)控，其中公共區(qū)域的監(jiān)控數(shù)據(jù)保留1個月以上，機房區(qū)域的監(jiān)控數(shù)據(jù)保留6個月以上。（所有通道、機房內(nèi)監(jiān)控）保安措施。園區(qū)保安、機房門衛(wèi)、前臺三重審核安全系統(tǒng)要求：外部環(huán)境、內(nèi)部措施、監(jiān)控和記錄等。基礎(chǔ)設(shè)施要求供配電設(shè)施、空調(diào)暖通設(shè)施：精密空調(diào)系統(tǒng)，具備恒溫恒濕要求。監(jiān)控設(shè)施、貨運設(shè)施、給排水設(shè)施、檢查制度和定期巡檢記錄。

通信網(wǎng)絡(luò)資源：通信服務(wù)能力

基礎(chǔ)設(shè)施配套；工作環(huán)境、災難恢復指揮中心、災難恢復坐席、辦公區(qū)、新聞發(fā)布中心、會議室、培訓教室、模擬演練室、基礎(chǔ)生活設(shè)施：宿舍、食堂、活動室等。

災備中心運維管理要求：

（1）災備中心運維組織架構(gòu)和運行管理團隊

（2）運行管理和信息安全管理制度

（3）信息系統(tǒng)運行監(jiān)控平臺及監(jiān)控記錄

（4）信息系統(tǒng)災難恢復指揮系統(tǒng)指揮系統(tǒng)、組織架構(gòu)、崗位職責、匯報流程、指揮協(xié)調(diào)工作方法與管理機制

4、需要關(guān)注

信息系統(tǒng)災難備份與恢復服務(wù)資質(zhì)分：A類和B類

A類：主要看災備中心場地資源要求、基礎(chǔ)設(shè)施要求、災備中心運維管理要求

B類：只要看設(shè)計方案要求、預案和演練要求

久久熟妇人妻午夜寂寞影院,亚洲精品无播放器在线观看,狠狠色噜狠狠狠狠色综合久,亚洲精品一区二区三区影院

成都遠望企業(yè)管理咨詢有限公司

會員