需求分析
啟明星辰通過對用戶常見的信息安全面臨的外部及內部需求進行總結,結合自身多年的服務經驗,以客戶需求為導向建立起一套整體安全服務產品體系。
客戶常見的安全需求主要包括外部要求和內部需求兩方面:外部要求指客戶面臨來自國家及行業合規監管要求,從而產生合規管理咨詢、等級保護咨詢、安全管理咨詢等服務需求;內部需求是客戶信息系統在規劃、設計、建設、運行的全生命周期中面臨的各項安全方面的服務需求,包括如何進行安全體系規劃設計、定期開展風險評估和加固、如何保障信息系統安全運行、緊急事件有效處置以及如何度量安全運行的情況等。
服務框架
啟明星辰專業安全服務團隊持續為用戶提供安全咨詢類、供應鏈安全類、安全風險管控類、攻防對抗類、安全教育與培訓類、安全合規類、工控安全類、安全托管8大類40余種服務產品。
根據相關要求和標準,從風險管理的角度,對信息系統及由其處理、傳輸和存儲信息的保密性、完整性和可用性等安全屬性進行評價的過程;主要包含風險評估、威脅檢測和脆弱性檢測。
提供面向信息系統運行的安全保障需求,綜合采用檢查、測試、監控、應急等服務,維持信息系統的安全保障水平;包含預警監控、安全監控、安全巡檢、運維值守、應急響應、安全加固等。
針對組織與信息安全有關的活動,確保組織是否符合外部合規性法律法規要求和組織已建立的安全策略和安全保障體系進行評價的過程;主要包含等級保護咨詢、ISO27000 咨詢和安全評價體系。
服務理念
服務理念
信息安全風險永遠存在,安全產品不能解決所有的問題。信息安全工作本身是一個過程,它的本質是風險管理。風險管理工作不僅僅是一個簡單的理論、方法,更需要在實踐中檢驗發展。啟明星辰強調安全必須為組織和業務服務,以最佳實踐(Best Practice)作為信息安全工作的落腳點,通過專業安全服務,能夠有效的落實組織安全策略,持續優化安全技術防護效能。
在啟明星辰 TSP(誠信的安全產品、安全服務、安全解決方案提供商)理念的指導下,在公司核心技術積累的基礎上,經過多年來和千余項重點行業服務項目和國家項目的實踐積累,結合國際先進的安全服務最佳實踐和經驗,在電信、政府、金融、電力等重要行業數千家客戶單位經過長時間的實踐,形成的一套專業、全面、有效的安全服務解決方案。
服務范圍
啟明星辰專業安全服務提供覆蓋客戶信息系統規劃、設計、建設、運行全生命周期的專業安全服務。
系統規劃階段
安全規劃
安全管理咨詢
等級保護咨詢
安全評價
系統設計階段
風險評估
應用安全評估
安全保障架構設計
安全管理體系咨詢
應急管理體系咨詢
應用開發全生命周期服務咨詢
系統建設階段
漏洞檢測
滲透測試
代碼審計
威脅檢測
安全加固
系統運行階段
安全預警通告
安全監控
運維值守
應急響應
服務特點
專業化安全服務
參與制訂了國家和行業多個風險評估、安全服務類相關標準規范;強大的安全研究團隊,提交的CVE原創漏洞近1100個;覆蓋全國的專業安全服務團隊。
可管理的安全服務
啟明星辰專業安全服務采用模塊化設計,用戶可根據實際需要,定制的安全服務內容,用戶對服務過程和結果可視、可管、可控;
成熟、商業化的工具支撐
在安全服務過程中,啟明星辰采用完全自主知識產權、成熟和商業化的安全工具或產品,如漏洞掃描、入侵檢測、配置檢測等工具系統,保證安全服務交付質量。
服務內容
啟明星辰專業安全服務內容是基于專業安全服務整體框架進行細分,可以為用戶提供多種類別的專業安全服務,主要包含以下內容:
安全架構設計
安全架構設計主要是針對客戶信息系統的安全保障需求,設計總體安全策略、制定信息安全建設方案和實施方案,并在此基礎上形成安全架構、技術體系和管理體系的設計。安全管理咨詢
根據客戶應急管理體系,針對各類突發信息安全事件,提供實施層面的應急響應和應急演練。安全規劃
信息安全規劃服務主要是從客戶核心業務、核心價值出發,根據客戶的發展戰略,通過風險評估等方式提取客戶的安全需求,對相應的安全保障目標、任務、措施和步驟進行規劃。脆弱性檢測
脆弱性檢測主要是針對客戶信息系統的安全要求,采取動態的技術手段進行問題發現、符合性和有效性驗證;包括配置檢測、漏洞掃描、滲透性測試和代碼審計。
威脅檢測
針對網絡中高級持續性威脅、惡意代碼等復雜的高級滲透攻擊進行高細粒度檢測的專業安全服務。
風險評估
依據有關信息安全技術與管理標準,從風險管理角度,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程,通過評估資產面臨的的威脅及威脅利用脆弱性導致安全事件的可能性。
安全加固
針對客戶在實施風險評估、安全檢查和測試過程中發現的各種安全風險、系統漏洞和不符合項,依據既定的信息安全策略,采取措施予以彌補。應急響應
根據客戶應急管理體系,針對各類突發信息安全事件,提供實施層面的應急響應和應急演練。運維值守
根據客戶需求,在約定的時間范圍內派遣服務人員到客戶現場駐場,為客戶承擔系統安全維護和管理的任務,對客戶的信息系統實施安全分析與問題處置。安全監控
通過監控工具或平臺,對信息系統環境、網絡、主機、系統和應用系統實時安全監控,查看各個系統組件的性能、功能及安全狀況。安全評價體系咨詢
通過對信息安全指標的分析設計,對用戶的信息安全架構的功能、效果和效益等方面設計安全評價體系和指標。安全評價體系咨詢
根據ISO 27001標準,建立完整的信息安全管理體系,達到可接受的信息安全水平,從根本上保證業務的持續性,并輔助通過ISO27001認證。等級保護評估
根據國家、地方及行業的等級保護相關政策和標準要求,結合客戶信息系統具體情況,為客戶提供等級保護評符合性估服務。行業定制服務
啟明星辰針對不同行業或領域的特定需求,為用戶提供行業性和特殊領域的安全服務解決方案,如金融信息科技風險管理咨詢、電子銀行評估、PCI-DSS合規評估;電信新技術新業務安全評估;稅務系統安全策略設計、三同步管理咨詢;工業控制系統安全評估等。規劃咨詢
安全架構設計
安全架構設計主要是針對客戶信息系統的安全保障需求,設計總體安全策略、制定信息安全建設方案和實施方案,并在此基礎上形成安全架構、技術體系和管理體系的設計。安全管理咨詢
根據客戶應急管理體系,針對各類突發信息安全事件,提供實施層面的應急響應和應急演練。安全規劃
信息安全規劃服務主要是從客戶核心業務、核心價值出發,根據客戶的發展戰略,通過風險評估等方式提取客戶的安全需求,對相應的安全保障目標、任務、措施和步驟進行規劃。風險管理
脆弱性檢測
脆弱性檢測主要是針對客戶信息系統的安全要求,采取動態的技術手段進行問題發現、符合性和有效性驗證;包括配置檢測、漏洞掃描、滲透性測試和代碼審計。
威脅檢測
針對網絡中高級持續性威脅、惡意代碼等復雜的高級滲透攻擊進行高細粒度檢測的專業安全服務。
風險評估
依據有關信息安全技術與管理標準,從風險管理角度,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程,通過評估資產面臨的的威脅及威脅利用脆弱性導致安全事件的可能性。
運維與應急
安全加固
針對客戶在實施風險評估、安全檢查和測試過程中發現的各種安全風險、系統漏洞和不符合項,依據既定的信息安全策略,采取措施予以彌補。應急響應
根據客戶應急管理體系,針對各類突發信息安全事件,提供實施層面的應急響應和應急演練。運維值守
根據客戶需求,在約定的時間范圍內派遣服務人員到客戶現場駐場,為客戶承擔系統安全維護和管理的任務,對客戶的信息系統實施安全分析與問題處置。安全監控
通過監控工具或平臺,對信息系統環境、網絡、主機、系統和應用系統實時安全監控,查看各個系統組件的性能、功能及安全狀況。合規評價
安全評價體系咨詢
通過對信息安全指標的分析設計,對用戶的信息安全架構的功能、效果和效益等方面設計安全評價體系和指標。安全評價體系咨詢
根據ISO 27001標準,建立完整的信息安全管理體系,達到可接受的信息安全水平,從根本上保證業務的持續性,并輔助通過ISO27001認證。等級保護評估
根據國家、地方及行業的等級保護相關政策和標準要求,結合客戶信息系統具體情況,為客戶提供等級保護評符合性估服務。其他定制服務
行業定制服務
啟明星辰針對不同行業或領域的特定需求,為用戶提供行業性和特殊領域的安全服務解決方案,如金融信息科技風險管理咨詢、電子銀行評估、PCI-DSS合規評估;電信新技術新業務安全評估;稅務系統安全策略設計、三同步管理咨詢;工業控制系統安全評估等。Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號