面對Internet帶來的威脅，許多網(wǎng)絡(luò)安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品,包括運用殺毒軟件、防火墻、安全管理、認證授權(quán)、加密等手段，并提供相應(yīng)的產(chǎn)品來進行安全防護，以確保網(wǎng)絡(luò)的安全。但單一的安全產(chǎn)品，已經(jīng)難以有效地保證用戶的網(wǎng)絡(luò)安全維護，在技術(shù)日新月異的趨勢下，用戶盼望更為專業(yè)的安全服務(wù)，尤其是企業(yè)、媒體和各類網(wǎng)站等專業(yè)用戶，他們更加需要一套從系統(tǒng)分析到產(chǎn)品與服務(wù)的專業(yè)化整體解決方案。 

        作為專業(yè)的信息安全管理咨詢機構(gòu)，我們積累了豐富的ISMS建設(shè)實踐經(jīng)驗，形成完整的方法論體系，能夠幫助客戶建立符合自身業(yè)務(wù)要求和標準要求的信息安全管理體系，提升組織信息安全保障能力、確保組織業(yè)務(wù)持續(xù)運行。針對用戶的信息安全需求，我們推出了以下專業(yè)安全服務(wù)。 

一、信息安全風險評估服務(wù)

        信息安全風險評估服務(wù)是一項以安全性評估和改進為目標的咨詢服務(wù)。通過對客戶信息系統(tǒng)的安全調(diào)查，識別信息系統(tǒng)的關(guān)鍵資產(chǎn)、面臨的威脅以及存在的脆弱性，量化分析客戶信息系統(tǒng)中存在的安全風險，為客戶提供風險控制及安全性改進的建議，并協(xié)助客戶實施各項風險控制措施，以管理信息系統(tǒng)中存在的各種安全風險。

        1、評估模型與方法

        （1）現(xiàn)有信息系統(tǒng)分析：對現(xiàn)有信息系統(tǒng)、所處環(huán)境、管理組織、用戶的安全需求進行調(diào)查分析，是分析工作的基點。

        （2）識別關(guān)鍵資產(chǎn)：根據(jù)信息系統(tǒng)分析的結(jié)果識別出系統(tǒng)的關(guān)鍵資產(chǎn)，以此為核心進行風險分析工作。

        （3）識別威脅：識別出信息系統(tǒng)主要的安全威脅、以及相應(yīng)的威脅途徑/方式。

        （4）識別脆弱點：通過測試或訪談的形式識別出系統(tǒng)在技術(shù)脆弱點與管理方面的薄弱環(huán)節(jié)，以及組織的事件防范能力。

        （5）分析事件影響：結(jié)合組織的安全需求，事件控制能力，信息系統(tǒng)結(jié)構(gòu)綜合分析威脅事件對信息系統(tǒng)可能造成的影響。

        （6）綜合風險評估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱點及防范能力、綜合事件影響評估組織面臨的風險。

        2、風險評估服務(wù)內(nèi)容

        根據(jù)客戶需求不同，我們可以為客戶提供多種類型的評估服務(wù)。

        評估內(nèi)容主要包括：

        （1）設(shè)施安全性評估：對信息系統(tǒng)的周邊環(huán)境、機房設(shè)施等進行評估診斷。

        （2）網(wǎng)絡(luò)安全性評估：對系統(tǒng)所依賴的網(wǎng)絡(luò)進行安全性評估，包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備等。

        （3）平臺安全性評估：對終端或服務(wù)器平臺進行安全性評估診斷，包括硬件配置、操作系統(tǒng)、數(shù)據(jù)庫等。

        （4）數(shù)據(jù)安全性評估：對數(shù)據(jù)的完整、機密、可靠、可用等要素進行評估。

        （5）應(yīng)用安全性評估：對業(yè)務(wù)應(yīng)用系統(tǒng)的安全性進行測試和診斷，包括滲透性測試、攻擊測試、源代碼分析等。

        （6）安全管理評估：對系統(tǒng)的信息安全管理機制進行調(diào)查和評估。

        （7）綜合風險評估：對設(shè)施、網(wǎng)絡(luò)、平臺、應(yīng)用、管理等方面的安全性進行綜合評估。

        3、評估實施流程

        前期準備階段：

        （1）確定評估范圍

        （2）成立評估項目組

        （3）召開項目啟動會

        （4）背景資料收集

        （5）確定評估方法

        （6）編制實施方案與計劃

        （7）準備評估工具

        現(xiàn)場調(diào)查階段：

        （1）問卷調(diào)查

        （2）現(xiàn)場訪問

        （3）討論會議

        （4）技術(shù)測試

        風險分析階段：

        （1）威脅量化

        （2）脆弱性量化

        （3）影響量化

        （4）風險分析與評價

        安全策略階段：

        （1）確定安全需求

        （2）確定安全目標

        （3）提出風險控制建議

        （4）協(xié)助實施風險控制措施 

        參考安全標準

        （1）ISO 13335-1 《IT安全管理指南 第1部分：IT安全概念和模型》

        （2）ISO/IEC 17799 《信息安全管理 實用規(guī)則》

        （3）信息保障技術(shù)框架——IATF

        （4）信息系統(tǒng)安全風險分析方法—— OCTAVE（Operationally Critical Threat, Asset,  and Vulnerability Evaluation）

        （5）國家標準《信息安全風險評估指南》

二、信息安全管理體系建設(shè)（ISMS）服務(wù)

        威格顧問認為服務(wù)ISMS咨詢服務(wù)是根據(jù)國際標準ISO/IEC 27001:2005，為組織建立完整的信息安全管理體系，以通過ISO/IEC27001管理體系認證為目標的咨詢服務(wù)。通過差距分析、風險評估、安全規(guī)劃等各種手段，對組織的11個控制方面，39個控制目標和133項控制要素進行安全控制，建立完善的信息安全管理體系，對內(nèi)從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件，對外樹立信息系統(tǒng)可靠性形象，滿足顧客要求，提高企業(yè)競爭能力。

        1、服務(wù)內(nèi)容

        根據(jù)客戶需求不同，威格顧問可以為客戶提供多種咨詢服務(wù)。服務(wù)內(nèi)容主要包括：

        （1）建立信息安全管理體系

        （2）ISO/IEC27001認證咨詢

        （3）ISO/IEC20000認證咨詢

        （4）ISMS宣貫培訓(xùn)

        （5）風險評估、風險管理咨詢

        （6）ISMS文件編寫咨詢

        （7）ISO27001與ISO20000、ISO9001整合咨詢

        2、體系建立模型與方法

        （1）Plan規(guī)劃：根據(jù)組織業(yè)務(wù)運作的安全需求，確定信息安全管理的范圍以及安全策略，建 立信息安全組織結(jié)構(gòu)，進行現(xiàn)場調(diào)查及差距分析，通過風險評估建立控制目標和方式，編寫ISMS體系文件，包括必要的流程和業(yè)務(wù)持續(xù)性計劃等工作。計劃階段最重要的部分是設(shè)定認證涵蓋的范圍及區(qū)域。

        （2）Do實施：發(fā)布及實施ISMS。在實施階段中三零公司要協(xié)助組織實施安全策略、控制 措施、流程、規(guī)章制度，并準備適用性報告。同時也需確保所有員工都了解信息安全的重要性，且確保其接受了適當?shù)呐嘤?xùn)，及有能力執(zhí)行他們負責的安全工作。此外，還要積極協(xié)調(diào)所需的資源。

        （3）Check檢查：核查的目的是依據(jù)方針、目標和實際經(jīng)驗測量，對信息安全管理過程和信

息系統(tǒng)的安全進行監(jiān)控和驗證，并決策者報告結(jié)果。確?？刂拼胧┒家淹菩校⒛苓_到既定的目標。該階段工作內(nèi)容主要包括內(nèi)部審核與管理評審。

        （4）Act處置：需要對核查結(jié)果采取適當?shù)男袆?，采取糾正和預(yù)防措施進一步提高過程業(yè)績，

以達到對ISMS的持續(xù)改進。