安全策略服務

安全體系設計服務

　　信息安全不是一個孤立靜止的概念，信息安全是一個多層面、多因素的、綜合的、動態的過程。

　　一方面，如果組織憑著一時的需要，想當然去制定一些控制措施和引入某些技術產品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現若干“短木塊”，從而無法提高安全水平。正確的做法是遵循國內外相關信息安全標準與最佳實踐過程，考慮到組織對信息安全的各個層面的實際需求，在風險分析的基本上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產的安全性、完整性和可用性；

　　另一方面，這個安全體系統還應當隨著組織環境的變化、業務發展和息技術提高而不斷改進，不能一勞永逸，一成不變。因此實現信息安全是一個需要一個完整的體系來保證的持續過程。

　　亞凡科技將幫助客戶組織建立符合其需求的完整有效的信息安全體系。

安全體系設計包括以下內容：

　　明確組織全面而完整的安全需求（來自風險評估、體系評估、策略評估信息安全體系建設與服務過程等）；

　　設計整體的安全體系；

　　最高安全方針

1.組織機構和人員職責：

　　安全運維制度

　　安全技術防范

　　文檔體系改進建議

　　安全體系的實現方案（包括產品選型、操作流程和組織架構等）；

　　對實現方案的細化描述（包括產品清單、報價、部署方式等）；

　　解決方案實施計劃（包括項目進度、實施人員、調試和驗收等）；

　　提供整體解決方案。

2. 等級保護服務：

　　等級保護咨詢服務指基于國家信息系統安全等級保護相關文件的要求，結合客戶的組織架構、管理運作模式、業務要求等特點，為被客戶制定適合自身特點的信息系統定級指南和等級保護基本要求，并協助客戶進行關鍵信息系統的等級評定工作，從而促進等級保護制度的有效落實。

等級保護咨詢服務包括如下內容：

　　確定不同級別的信息系統安全保護等級定義；

　　分析最新的國家等級保護相關文件精神、要求及客戶的組織架構、管理運作模式、業務要求等特點；

　　綜合以上信息，創建信息系統安全保護等級定級指南；

　　基于國家等級保護基本要求，結合客戶的實際狀況，創建信息系統安全等級保護基本要求；

　　針對關鍵信息系統，基于定級指南協助系統負責人確定等級。


等級保護咨詢的主要工作流程：

　　系統識別與描述

　　系統等級確定

　　系統分域保護框架建立

　　選擇和調整安全措施

　　安全措施實施

　　運行監控與改進