1. 浪潮信息安全风险评估 (1) 概述浪潮风险评估服务建立在工作流程标准化技术水平专业化经验累积知识化之上, 从业务和风险管理的角度出发, 采用定性和定量相结合的方法, 帮助客户识别 IT 风险分析 IT 风险处置 IT 风险, 从而建立以风险控制为中心的安全保障体系威胁利用脆弱

Size: px

Start display at page:

Download "1. 浪潮信息安全风险评估 (1) 概述浪潮风险评估服务建立在工作流程标准化技术水平专业化经验累积知识化之上, 从业务和风险管理的角度出发, 采用定性和定量相结合的方法, 帮助客户识别 IT 风险分析 IT 风险处置 IT 风险, 从而建立以风险控制为中心的安全保障体系威胁利用脆弱"

奠贺
5 years ago
Views:

1 安全服务彩页浪潮风险评估

2 1. 浪潮信息安全风险评估 (1) 概述浪潮风险评估服务建立在工作流程标准化技术水平专业化经验累积知识化之上, 从业务和风险管理的角度出发, 采用定性和定量相结合的方法, 帮助客户识别 IT 风险分析 IT 风险处置 IT 风险, 从而建立以风险控制为中心的安全保障体系威胁利用脆弱性阻止增加增加暴露安全措施降低风险资产满足引入增加具有安全需求价值风险评估模型浪潮风险评估服务包括 IT 风险识别安全策略评估远程安全扫描本地安全检查应用安全评估渗透性测试和综合风险评估等多种方式通过浪潮风险评估服务可帮助您明确 : (1) 目前信息系统面临着何种安全风险 ; (2) 应采取何种安全措施来规避所面临的风险 ; (3) 信息安全保障体系建设的优先级 ; (4) 与相关法规和标准 ( 如等级保护 ISO27000) 的符合性 ; (2) 业务介绍业务编号业务名称业务说明 IRE-001 IT 风险识别对客户 IT 环境中的关键性 IT 资产安全威胁和脆弱性进行识别, 并评估其风险

3 IRE-002 安全策略评估结合国家等级保护政策, 以及 ISO 相关规范对客户总体信息安全策略进行综合评估 IRE-003 远程安全扫描利用安全扫描工具对客户信息系统进行远程技术脆弱性评估 IRE-004 本地安全检查利用自动工具和人工检查的方式, 对客户信息系统进行本地技术脆弱性评估 IRE-005 应用安全评估利用自动或人工的方式, 对客户应用系统的安全性进行评估, 并协助其进行改善和加固 IRE-006 渗透性测试利用各种主流的攻击技术对网络做模拟攻击测试, 以发现系统中的安全漏洞和风险点 (3) 评估方式和手段工作方式描述评估小组根据事先准备好的访谈列表, 与组织内部负责管理技术和访谈普通员工等各级相关人员进行逐个沟通, 以全面获取当前信息系统的安全管理和技术现状, 以及可能存在的风险点等相关信息研讨会评估小组与组织内部的若干人员进行公开和有效的沟通, 从而获得更加真实的信息或就某些问题达成共识, 例如, 确定各种评价准则工具 / 手工测试评估小组研究组织与信息安全有关的文档, 或观察人员的行为或环境状况, 检查系统安全配置, 或安全扫描和渗透测试的输出, 来获得相应信息内部沟通指评估小组内部, 或协调员与被评估组织内部或评估小组和协调员

4 之间的沟通活动通过内部沟通, 从而获得相关信息或就某些问题达成共识 2. 什么是风险评估您了解您的企业信息资产安全状况吗? 您的企业是否知道信息安全系统的安全薄弱之处? 您的企业安全管理制度是否得到了有效的落实? 您的企业执行安全策略时的风险是否得到了有效的控制? 如果您不能明确回答以上问题, 您的企业信息系统很有可能存在潜在的风险, 并且您不知道风险在哪里? 我们如何为您解决难题? 浪潮通过风险评估服务帮助您了解企业的信息安全与 IT 风险现状, 面向企业业务识别出主要的 IT 风险, 结合企业的现状分析并选择有效的控制措施与方法, 同时结合国际国内标准与实践经验帮助您建立一个具有全局观的多层次的组件化的安全技术和安全管理防御体系, 降低风险, 提高效率那么什么是风险评估? 风险评估 : 即系统信息或者是信息处理系统遭受攻击的可能性, 对于这些威胁产生的可能性及其后果的评估即依据国际国内有关信息技术标准, 对信息系统的保密性完整性和可用性等安全属性进行科学识别和评价, 从技术角度就 IT 风险现状做出总结和建议

5 3. 为什么要进行风险评估企业信息安全发展需求风险评估的结果为保障信息系统的安全建设稳定运行提供了技术参考在规划与设计阶段, 风险评估的结果是安全需求的来源, 为信息系统的安全建设提供依据 ; 在系统运行维护阶段, 由于信息系统的动态性, 需要定期地进行风险评估, 以了解和掌握系统安全状态, 是保证系统安全的动态措施同时, 风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段国家法律法规要求 ( 国家政策要求 / 相关政策要求 ) 2010 年 : 工业和信息化部发布了通信网络安全防护管理办法, 该办法要求在国家重大活动之前三级以上 ( 含三级 ) 通信网络单元应当每年进行一次安全风险评估 ; 二级通信网络单元应当每两年进行一次安全风险评估工作 2008 年 : 国家发改委公安部和国家保密局共同颁发了关于加强国家电子政务工程建设项目息安全风险评估工作的通知, 通知第七条要求项目建设单位应在项目建设任务完成后试运行期间, 组织开展该项目的信息安全风险评估工作, 并把评估报告作为验收的重要内容 ; 2007 年 : 公安部颁布了涉及国家秘密信息系统的分级保护管理, 管理条例第 32 条要求 : 加强涉密信息系统运行中的保密管理, 定期进行风险评估, 消除泄密隐患和漏洞 ; 2004 年 : 中国人民银行颁布中国人民银行信息安全管理规定, 规定要求金融行业每年至少针对信息系统进行一次风险评估 ;

6 2004 年 : 国家税务总局颁发了税务系统信息安全风险评估工作管理规定 ( 暂行 ) 要求所有税务部门的新系统上线之前都要进行风险评估, 系统上线后每年至少进行一次风险评估 ; 4. 浪潮风险评估的流程浪潮信息安全服务组结合多年来的项目实践, 借鉴国内外同行的先进经验, 依据风险评估服务的标准和规定, 制定了一种全面系统详细的信息系统风险评估方法第一阶段 (S1) 计划准备 T1: 系统综合分析 T2: 评估计划制定第二阶段 (S2) 现场实施 T3:IT 资产调研 T4: 资产价值分析 T5: 威胁识别 T6: 威胁分析 T7: 手工检查 T8: 安全扫描 T9: 渗透性测试 T10: 脆弱性分析第三阶段 (S3) 综合分析 T11: 安全管理措施分析与确认 T12: 安全技术措施分析与确认 T13: 评估记录分析 T14: 风险综合分析 T15: 残余风险处置 S1 计划准备阶段 T1 系统结构分析 : 了解组织 IT 战略主要业务机构设置区域分布 ; 确定被评估系统的物理边界完善网络结构, 了解各业务组件系统的重要性应用系统的信息流以及各信息系统之间的依存关系 T2 评估计划制定 : 制定详细的评估计划, 详细说明评估的资产范围和目的评估的方法和时间进度表以及在评估过程中可能出现的风险和采取的规避措施等

7 S2 现场实施阶段 T3 IT 资产调研 : 资产调研作为资产评估对象收集的一个重要任务根据资产的表现形式对资产进行分类, 形成资产分类表 T4 资产价值分析 : 资产价值分析的过程也就是对资产在机密性完整性和可用性上的安全属性缺失时对组织科能带来的经济效益市场份额组织形象的损失 T5 威胁识别 : 根据组织 IT 系统所处环境和建设情况, 参考国内相关标准和规范, 对网络系统和应用等设施可能遭受的威胁进行识别和汇总 T6 威胁分析 : 在威胁识别的基础上, 根据组织业务和 IT 系统的现状, 对面临的各类威胁采用定性或定量的方式进行赋值 T7 手工检查 : 根据浪潮检查列表和相关规范, 对与信息安全相关的管理和技术文档系统安全配置进行手工检查, 识别可能存在的管理和技术弱点 T8 安全扫描 : 通过自动化安全扫描工具, 对客户信息系统进行远程技术脆弱性评估, 识别可能存在的技术脆弱性 T9 渗透测试 : 通过使用各类网络黑客攻击技术对网络进行模拟渗透攻击, 测试系统网络主机和应用服务的安全性, 更为客观地发现可能存在的弱点 T10 脆弱性分析 : 结合手工检查安全扫描和渗透测试过程中识别的信息系统在管理和技术上脆弱性, 根据组织业务和 IT 系统的现状, 采用定性或定量的方式进行赋值 S3 综合分析阶段 T11&T12 已有安全措施的确认 : 识别已有的安全措施, 分析安全措施的效力对有效的安全措施继续保持, 以避免不必要的工作和费用, 防止安全措施的重复实施对确认为不适当的安全措施应核实是否应被取消或对其进行修正, 或用更合适的安全措施替代

8 T13 评估记录分析 : 对在现场评估阶段通过访谈工具和手动测试等方式所获得的信息进行整理并对评估对象技术安全分析报告中的信息进行分析, 从而识别与各应用系统网络和管理中有关的安全问题 T14 风险综合分析 : 首先确定风险评价基准和客户能接受的风险级别, 然后确定整体风险水平, 将单个风险与单个评价基准整体风险水平与整体评价基准对比, 确定各资产的风险级别, 输出风险评估报告 T15 残余风险处置 : 残余风险是采取了安全措施后, 信息系统仍然可能存在的风险对于残余风险, 一般有接受风险降低风险转移风险三种策略去处理, 具体选择哪一种取决于面临的风险形势和最终决策者的意见 5. 用户收益识别企业信息技术管理等方面存在的可被不利因素所利用的脆弱性 ; 识别出威胁利用信息系统的脆弱性可能给企业带来的不利影响和影响程度 ; 确认企业目前所实施的安全措施是否适当或在企业持续运营的过程中是否仍然能够满足, 从而确定是否需要进行相应的修正或增加其它安全措施, 以保障企业的信息安全 ; 为企业准确地定义出管理层自上而下的信息安全目标和要求 ; 使全员得到教育和提升, 并能够遵守公司信息安全的总体策略 ; 评估企业信息安全的指南是否符合业务标准, 同时有效保障公司的业务安全, 并能够确保一致地执行

6. 浪潮的优势全面的信息安全资质 :ISCCC 信息安全风险评估一级服务资质 ISCCC 国家信息安全应

( 证书图片 ) 专业化的服务团队 : 人力资源储备充足, 服务团队实力雄厚, 拥有数位 CISSP CISP

认证等安全专家丰富的服务经验 : 具备多年从事信息安全服务经验, 拥有一套先进的风险管理技术和方法,

9 6. 浪潮的优势全面的信息安全资质 :ISCCC 信息安全风险评估一级服务资质 ISCCC 国家信息安全应急响应一级资质国家信息安全测评 - 信息安全服务资质 ( 安全工程类一级 ) 国家涉密信息系统集成甲级资质 ( 证书图片 ) 专业化的服务团队 : 人力资源储备充足, 服务团队实力雄厚, 拥有数位 CISSP CISP ISO27001 LA PMP AIX 系统管理员 Oracle OCP 认证 DB2 DBA 认证 NCC 认证等安全专家丰富的服务经验 : 具备多年从事信息安全服务经验, 拥有一套先进的风险管理技术和方法, 完善的风险控制策略, 完成了金融 / 交通 / 能源 / 政府 / 大型企业等行业大量的成功项目 7. 成功案例

面试后根据总成绩 ( 笔试成绩面试成绩各占 50%, 总成绩相同时按笔试成绩排名 ) 按招聘计划 1:1 的比例确定体检考察对象参照公务员录用体检通用标准 ( 试行 ) 和浙江省公

面试后根据总成绩 ( 笔试成绩面试成绩各占 50%, 总成绩相同时按笔试成绩排名 ) 按招聘计划 1:1 的比例确定体检考察对象参照公务员录用体检通用标准 ( 试行 ) 和浙江省公绍兴市直事业单位 2012 年度第一批新增工作人员公开招聘公告为满足市直事业单位补充工作人员的需要, 根据绍兴市直事业单位公开招聘工作人员有关规定和要求, 决定组织实施市直事业单位 2012 年度第一批新增工作人员公开招聘