当前位置: 公司业务 --  信息安全 --  信息安全咨询设计
信息安全咨询设计

  遵照国家信息安全法规政策和技术标准,结合客户的个性化特征,综合各方面因素,根据系统不同阶段的需求、业务性和应用重点,采用不同的咨询设计方法,建立一套全面的,突出重点的,持续性的信息安全体系设计方法和咨询保障服务。服务内容如下:

  规划设计

  依托强大的漏洞库资源和顶级的专家团队,以国家标准为基础,为客户从安全技术、安全管理、安全工程等角度建立完整的信息安全保障体系。安全规划设计的主要工作包括:
  第一、信息安全策略的制定
  信息安全策略是信息安全建设的核心,我们在对客户的系统进行风险评估的基础之上,明确信息安全建设工作的内容和重点,并形成指导信息安全建设的《信息安全总体策略》。
  第二、安全技术体系建立
  安全技术体系是以安全策略为指导,从物理和通信安全防护,网络安全防护,主机系统安全防护,应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。
  第三、安全管理体系建立
  安全管理体系的建立是在安全策略为指导的基础之上,充分参考和借鉴国际信息安全管理的相关标准,从多个维度建立一套完整的信息安全管理体系。
  第四、安全工程体系建立
  安全工程体系是从工程的角度,将安全措施融入到信息系统生命周期,通过挖掘安全需求、定义安全要求、设计体系结构、详细安全设计、实现系统安全等环节,提高客户的信息安全工程过程能力。
  第五、持续改进阶段
  根据信息系统安全保障评估的结果进行改进,形成满足其信息系统安全保障需求的可持续改进的信息系统安全保障能力。信息系统安全保障需要覆盖信息系统的整个生命周期,形成持续改进的信息系统安全保障能力。

  安全咨询

  国内资深的安全专家,提供全方位的信息安全咨询服务。时刻跟随全球最新的安全咨情和理论研究,重大安全事件跟踪,以及行业安全要求。目前提供的信息安全咨询服务主要包括:
  1、信息安全总体规划设计咨询
  由北方实验室高级安全顾问团队,根据客户的实际需求,遵循PDCA、PDRR等安全模型,参考国内外安全标准,进行安全规划设计咨询,帮助组织完成安全规划方案编写,以指导组织进行信息安全建设。
  2、信息安全体系建设咨询
  由北方实验室高级安全顾问团队,根据客户的实际需求,参考国内外安全标准,进行安全体系设计,协助组织完成安全体系的建设,以策略体系建设为主,同时提供管理体系、技术体系、运行体系的安全咨询。
  3、信息安全方案设计咨询
  由北方实验室高级安全顾问团队,根据客户的实际需求,参考国内外安全标准,进行信息安全方案设计,协助组织完成信息安全建设,包括网络安全结构设计、系统安全设计、其他信息安全方案设计。
  4、日常信息安全咨询
  由北方实验室高级安全顾问团队,根据客户的实际需求,参考国内外安全标准,为客户提供日常安全咨询,主要包括大的信息安全规划、安全决策、安全事件处理等。
  5、信息安全加固咨询
  安全加固工作的目标是解决在安全评估中发现的技术性安全问题,所有的被评估对象应不再存在高风险漏洞和中风险漏洞(根据CVE标准定义)。同时,在此过程中注意避免影响修补加固对象原有的功能和性能(若可能存在,必须事先指出,并进行周密的计划和布置规避相应的风险)。
  6、信息系统安全方案评审
  由北方实验室组织行业专家和渗透测试测评工程师,对信息系统安全方案进行评估,帮助委托单位了解安全方案在实施后系统安全是否能实现最大预期值。
  7、等保咨询
  等保咨询服务主要为实施等级保护的系统提供全生命周期的第三方服务,主要包括等级保护安全定级咨询服务、等级保护安全建设/改造项目咨询服务、等级保护自查和检查工作咨询、等级保护安全改进建议咨询四部分内容,具体为:
  等级保护安全定级咨询服务:主要指为用户提供系统信息安全等级保护定级的咨询工作。
  等级保护安全建设/改造项目咨询服务:主要指用户为满足等级保护要求而实施的安全建设或改造项目提供咨询服务,报告等级保护建设需求分析、建设方案评审、设备选型咨询、安全建设项目过程管理咨询、项目验收测试等。
  等级保护自查和检查工作咨询:主要指为用户等级保护自查和检查工作提供技术咨询。   
  等级保护安全改进建议咨询:主要指为用户等级保护测评中识别的安全问题及风险提供安全改进建议报告,其中复杂的需要通过安全项目立项予以整改的内容见等级保护安全建设/改造项目咨询服务。

 政策依据
- 《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)
- 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字【2007】861号)
 标准规范
- GB/Z 24364-2009《信息安全风险管理指南》
- GB/T 18336-2008《信息技术安全性评估准则》
- GB/T 20984-2007 《信息安全风险评估规范》
- GB/T 19715-2005 《信息技术安全管理指南》
- GB 17859-1999《计算机信息系统安全保护等级划分准则》
- 《GB/T 20274-2008 信息系统安全保障评估框架》
- ……