安全策略服务

安全体系设计服务

　　信息安全不是一个孤立静止的概念，信息安全是一个多层面、多因素的、综合的、动态的过程。

　　一方面，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基本上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性；

　　另一方面，这个安全体系统还应当随着组织环境的变化、业务发展和息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。

　　亚凡科技将帮助客户组织建立符合其需求的完整有效的信息安全体系。

安全体系设计包括以下内容：

　　明确组织全面而完整的安全需求（来自风险评估、体系评估、策略评估信息安全体系建设与服务过程等）；

　　设计整体的安全体系；

　　最高安全方针

1.组织机构和人员职责：

　　安全运维制度

　　安全技术防范

　　文档体系改进建议

　　安全体系的实现方案（包括产品选型、操作流程和组织架构等）；

　　对实现方案的细化描述（包括产品清单、报价、部署方式等）；

　　解决方案实施计划（包括项目进度、实施人员、调试和验收等）；

　　提供整体解决方案。

2. 等级保护服务：

　　等级保护咨询服务指基于国家信息系统安全等级保护相关文件的要求，结合客户的组织架构、管理运作模式、业务要求等特点，为被客户制定适合自身特点的信息系统定级指南和等级保护基本要求，并协助客户进行关键信息系统的等级评定工作，从而促进等级保护制度的有效落实。

等级保护咨询服务包括如下内容：

　　确定不同级别的信息系统安全保护等级定义；

　　分析最新的国家等级保护相关文件精神、要求及客户的组织架构、管理运作模式、业务要求等特点；

　　综合以上信息，创建信息系统安全保护等级定级指南；

　　基于国家等级保护基本要求，结合客户的实际状况，创建信息系统安全等级保护基本要求；

　　针对关键信息系统，基于定级指南协助系统负责人确定等级。


等级保护咨询的主要工作流程：

　　系统识别与描述

　　系统等级确定

　　系统分域保护框架建立

　　选择和调整安全措施

　　安全措施实施

　　运行监控与改进