J38uQ0T
隨著我國信息化和信息安全保障工作的不斷深入推進,以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。就目前申報企業數量由多到少依次排序為:安全集成—安全運維--風險評估---應急處理---軟件安全--災難備份與恢復。其中傳統的信息化企業有集成和運維業務企業大多選擇申請安全集成和安全運維 。風險評估和應急處理對企業從業經驗成功項目案例實施有更專業的要求,需要根據不同的項目詳細分析。
第一:安全集成服務資質
1、工具和技術手段:漏洞檢測工具,配置基線核查、源代碼審計等等;2、業績項目和規范:項目中要有信息安全服務的流程和規范;實施的信息安全服務項目案例,而且案例中所體現的信息安全服務過程能夠符合《信息安全服務規范》的要求;申請三級需要對應專業2個項目,申請二級需要近三年的6個項目;(一)公共管理包含;法律地位、財務資信、辦公場所、人員要求、服務管理要求(人員管理 文檔管理 保密管理 項目管理 合同管理 供應商管理,體系建設要求),技術工具要求等;(二)項目業績:信息安全服務資質對企業在對外開展信息安全服務的一些關鍵環節和過程,也有相應的要求;要將公司現有的業務模式,與資質的要求進行融合,并按照資質規范的要求,形成相應的對標輸出;4、安全集成項目階段:集成準備 方案設計 建設實施和安全保障四個階段 要在傳統系統集成項目實施過程中融入“安全性”思維,并貫穿集成項目實施的整個過程,不能是單獨的設備采買和安裝,要把“安全性”思維貫穿始終,保證交付客戶的集成項目不應僅僅是“可用”的,而且應該是“高安全性、低風險的”。5、適合申請安全集成的組織類型:
? 致力于提供高品質集成服務的組織,不再定位自身僅僅是“賣設備”的組織;? 所開展的項目類型為硬件集成、軟件集成、軟硬件集成三種 形式均可,但項目的主要環節需要覆蓋需求分析、方案設計、建設實施、安全保障四個主要環節。第二:安全運維服務資質
通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維工作,以發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。隨著信息系統運行,其自身存在的脆弱性和面臨的威脅都在發生變化,安全運維就是在系統運行期間,不斷發現問題和解決問題,并優化安全策略,建立防護、檢測和恢復的閉環安全機制,保證業務系統持續安全。2、業績項目和規范
1.集成項目實施完成后,希望能夠為客戶提供長期運維服務的組織;2.所開展的運維項目類型為硬件運維、應用系統運維、或硬件與應用系統運維均可,項目的主要環節需要覆蓋需求分析、方案設計、運維實施、運維服務報告編寫等階段;1. 公共管理包含;法律地位、財務資信、辦公場所、人員要求、服務管理要求(人員管理 文檔管理 保密管理 項目管理 合同管理 供應商管理,體系建設要求),技術工具要求等;2. 項目業績:信息安全服務資質對企業在對外開展信息安全服務的一些關鍵環節和過程,也有相應的要求;要將公司現有的業務模式,與資質的要求進行融合,并按照資質規范的要求,形成相應的對標輸出;3.安全運維項目:避免選擇純硬件維護或者純軟件維護的項目, 典型項目應該涉及預警、防護、檢測和恢復等環節的內容。4.安全運維的項目階段:運維設計實施 運維方案設計 服務實施(信息系統配置管理數據庫、安全配置庫、配置檢查記錄 日志保存記錄與日志審計分析記錄、報告;漏掃記錄、安全加固記錄、補丁安裝記錄、病毒查殺記錄等 )。在傳統IT運維項目實施過程中融入“安全性”思維,并貫穿運維項目實施的整個過程:3.在運維服務開展過程中,通過多種手段(資產梳理、配置優化、漏洞檢測、安全審計、狀態監控、滲透測試等),能夠發現問題和隱患,控制風險,使運維對象的信息安全風險保持在偏低水平;4.針對運維服務過程中發現的問題能夠及時閉環處理、分析總結。第三:信息安全風險評估
? 依據國際或國家標準中明確的風險計算模型,來對所評估對象目前所存在的信息安全風險進行分析的服務過程;? 服務過程可主要分為評估對象的業務流程分析、資產分析、威脅分析、脆弱性分析、風險分析、風險處置等階段;? 通過現場實地觀察、人員訪談、技術測試、數據分析等實施方法;? 致力于對外提供安全咨詢、安全檢測與加固、風險分析、IT治理等服務的組織;? 希望作為中立的第三方,向需求方提供服務的組織;掃描工具:包括主機掃描、網絡掃描、數據庫掃描,用于分析系統的常見漏洞;滲透性測試工具:黑客工具,用于人工滲透,評估系統的深層次漏洞;主機安全性審計工具:用于分析主機系統配置的安全性;信息安全服務資質申請要素之四:公共管理和安全運維專業方向與評估表對標;(1) 公共管理包含;法律地位、財務資信、辦公場所、人員要求、服務管理要求(人員管理 文檔管理 保密管理 項目管理 合同管理 供應商管理,體系建設要求),技術工具要求等。? 在信息安全管理體系中涉及到了風險評估的相關概念,在信息安全服務資質也涉及到了風險評估,兩者在能力要求和方法論上是一致的。? 三級:至少有一個完成的風險評估項目,該系統的用戶數在1,000以上;具備從管理或(和)技術層面對脆弱性進行識別的能力。具備跟蹤信息安全漏洞的能力。? 二級:針對多種類型組織,多行業組織,至少完成一個風險評估項目,該系統的用戶數在10,000以上;具備從管理和技術層面對脆弱性進行識別的能力。具備跟蹤、驗證信 息安全漏洞的能力。第四:信息安全應急處理服務資質
1、應急處理的幾個階段
2、什么是應急處理項目
(1)盡量選擇真實發生的安全事件的應急而不是應急演練類項目;(2) 選擇的案例盡量是網絡信息安全類事件的應急;(3) 盡量不選擇預防性的應急案例,這種案例一般不能很好體現應急事件的臨場分析、處置能力。第五:軟件安全開發服務資質
通過對軟件開發過程的控制,將開發的軟件存在的風險控制在可接受的水平。軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。資質級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。持續為所開發的系統提供版本升級、打補丁等維保服務;準備階段-開發管理計劃、風險管理、配置管理,變更管理;需求階段--需求分析 調研項目背景信息,收集項目需求,明確軟件功能、性能及安全方面的要求;第六:信息系統災難備份與恢復
(1)災備中心所在地域抗震設防烈度,該中心抗震設防類別。(2)高架地板面積不低于1000/2000/5000平米。(4)災備中心建設等級滿足國標A級或國際T3以上機房要求。(5)災備中心的場地應自有產權,或者簽署有剩余期限不少于5年的長期租賃合同災難備份中心與生產中心同時遭受同類風險具備通信、電力資源和交通條件 統籌規劃、資源共享、平戰結合。基礎設施要求:計算機機房應符合有關國家標準工作輔助設施和生活設施要符合災難恢復目標的要求;抗震設防要求:按國家規定的權限批準作為一個地區抗震設防的地震烈度稱為抗震設防烈度。一般情況下,抗震設防烈度可采用中國地震參數區劃圖的地震基本烈度。耐火等級:是衡量建筑物耐火程度的分級標度。它由組成建筑物的構件的燃燒性能和耐火極限來確定;機房場地要求:新風換氣系統,機房內正壓,確保機房潔凈度。氣體滅火的消防系統,并具備早期報警系統/溫感和煙感系統兩級報警。消防要求:設施阻燃設計、消防報警器、滅火裝置、監控與報警等等。機房場地要求:機房門禁管理制度和訪問控制程序,如7×24小時門禁\閉路電視監控,其中公共區域的監控數據保留1個月以上,機房區域的監控數據保留6個月以上。(所有通道、機房內監控)保安措施。園區保安、機房門衛、前臺三重審核安全系統要求:外部環境 、內部措施、監控和記錄等。基礎設施要求供配電設施、空調暖通設施:精密空調系統,具備恒溫恒濕要求。監控設施、貨運設施、給排水設施、檢查制度和定期巡檢記錄。
基礎設施配套;工作環境、災難恢復指揮中心、災難恢復坐席、辦公區、新聞發布中心、會議室、培訓教室、模擬演練室、基礎生活設施:宿舍、食堂、活動室等。災備中心運維管理要求:
(4)信息系統災難恢復指揮系統指揮系統、組織架構、崗位職責、匯報流程、指揮協調工作方法與管理機制4、需要關注
A類:主要看災備中心場地資源要求、基礎設施要求、災備中心運維管理要求
燃氣用鋁合金襯塑PE管" width="160" height="152">
鋁合金襯PE-RT" width="160" height="152">
