新闻
当前位置:首页 > 新闻 > 公司新闻 浅谈信息安全咨询服务的评估和规划技巧
浅谈信息安全咨询服务的评估和规划技巧

互联网、大数据、区块链等网络技术的迅猛发展,数字化转型经济时代呈现出“数字经济驱动未来增长”的趋势,越来越多的企业意识到必须通过互联网和新兴技术来实现产业升级,而大规模的数字化使企业网络安全形势更加严峻。

随着企业网络和信息系统日趋复杂,必须将信息安全技术依据一定的安全体系设计进行整合、集成,才能达到综合防范的要求,今天将结合敏捷实际案例从评估和规划的方法与技巧的角度与大家共同探讨信息安全咨询服务过程中的评估和规划等工作。


1成立信息安全风险评估小组,制定项目计划

企业在实施信息安全风险评估时,要成立信息安全风险评估小组。如果企业依托专业的信息安全厂商实施企业风险评估,可由厂商技术专家和企业相关部门代表共同组建。前期调研,了解安全需求,制定项目计划。


2熟悉运作流程、掌握风险评估方法和技巧

评估小组及相关人员在风险评估前接受厂商技术专家的培训,熟悉运作流程,理解信息安全管理基础知识,掌握风险评估的方法和技巧。


3建立风险评估准则

依据国家标准确定各项安全评估指标,可借鉴敏捷科技参考的标准,如

▪ GB/T 20984-2007:《信息安全风险评估规范》;

▪ ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》;

▪ GB/T 18336.1-2008 《信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型》;

▪ GB/T 18336.2-2008 《信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求》;

▪ GB/T 18336.3-2008 《信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求》等。


4识别与分析风险,编写信息安全风险评估报告

根据信息安全风险评估规范相关标准的定义,企业应采用访谈、工具扫描、实地勘察、渗透测试、策略审查等方法从资产、威胁、脆弱性三个基本要素进行风险识别和分析,获取确切真实的企业信息系统现状,计算企业风险,编写信息安全风险评估报告。

▪ 资产识别,对企业管理系统等关键信息资产进行识别; 

▪ 威胁识别,识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量其可发性和来源;

▪ 脆弱性识别,识别各类信息资产、各控制流程与管理中的弱点。


5设计满足企业的总体安全保障规划

企业在设计安全规划的过程中,需要充分满足国家、行业政策和标准要求,同时也可以参照国内外的相关标准,并结合企业的实际情况设计满足企业的总体安全保障规划,通过三个不同层面的分解,最终落实企业的信息安全战略。

▪ 目标分解:把总体信息安全战略转换成安全保障体系框架下的安全组织、安全策略、安全运作与安全技术目标,并通过其中的子目标进一步分解建立适应公司的安全保障体系要求。

▪ 过程分解:在把信息安全战略逐步明确成信息安全项目和实施方案的整个过程,需要从具体工作中把总体的要求通过一步步转换,最终分解成不同安全工作。

▪ 项目分解:把目标分解的成果和过程分解相结合,最终建立具体项目的整个过程。


6以某知名冶金企业的信息安全咨询项目为例:

敏捷科技作为国内首家原创数据加密软件厂商,致力于帮助各类企业、科研院所及政府解决数据安全与管理难题。敏捷科技为该企业提供了信息安全风险评估及安全体系规划咨询服务,对其信息系统可能面临的风险进行分析、控制,全面提升了企业信息系统的安全防护能力。


首先,敏捷技术专家从企业信息系统中重要资产所存在的安全弱点(包括网络设备、主机系统、数据库系统、应用系统、人员安全等)以及可能面临的安全威胁(包括被动攻击、主动攻击、内部人员攻击等)入手,针对物理、网络、主机、应用及管理等各个层面可能存在的安全风险进行分析。


除提供常规安全评估所包含的技术性内容,敏捷技术专家还对各种非技术性的风险进行分析和诊断,包括安全策略、执行程序和过程、人员操作、安全意识等方面。借助资产评估、威胁和弱点评估,最终对企业信息系统所面临的各种风险给予优先级排列,为风险处理决策提供依据。


最后,敏捷科技向客户出具漏洞扫描报告及风险评估报告,并根据前期调研及风险评估结果,制定管理体系建设框架,编制相关信息安全管理制度,敏捷科技为企业网络与信息化安全保驾护航。

法律申明渠道合作网站地图联系我们
服务热线:4008-866-855 传真:0512-69172209;025-84521143 邮编:215021
Copyright @ 2008-2014 敏捷制胜 安全致远 江苏敏捷科技 版权所有 SiteMap 苏ICP备09070733号-1