J38uQ0T
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。就目前申报企业数量由多到少依次排序为:安全集成—安全运维--风险评估---应急处理---软件安全--灾难备份与恢复。其中传统的信息化企业有集成和运维业务企业大多选择申请安全集成和安全运维 。风险评估和应急处理对企业从业经验成功项目案例实施有更专业的要求,需要根据不同的项目详细分析。
第一:安全集成服务资质
1、工具和技术手段:漏洞检测工具,配置基线核查、源代码审计等等;2、业绩项目和规范:项目中要有信息安全服务的流程和规范;实施的信息安全服务项目案例,而且案例中所体现的信息安全服务过程能够符合《信息安全服务规范》的要求;申请三级需要对应专业2个项目,申请二级需要近三年的6个项目;(一)公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等;(二)项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出;4、安全集成项目阶段:集成准备 方案设计 建设实施和安全保障四个阶段 要在传统系统集成项目实施过程中融入“安全性”思维,并贯穿集成项目实施的整个过程,不能是单独的设备采买和安装,要把“安全性”思维贯穿始终,保证交付客户的集成项目不应仅仅是“可用”的,而且应该是“高安全性、低风险的”。5、适合申请安全集成的组织类型:
• 致力于提供高品质集成服务的组织,不再定位自身仅仅是“卖设备”的组织;• 所开展的项目类型为硬件集成、软件集成、软硬件集成三种 形式均可,但项目的主要环节需要覆盖需求分析、方案设计、建设实施、安全保障四个主要环节。第二:安全运维服务资质
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。随着信息系统运行,其自身存在的脆弱性和面临的威胁都在发生变化,安全运维就是在系统运行期间,不断发现问题和解决问题,并优化安全策略,建立防护、检测和恢复的闭环安全机制,保证业务系统持续安全。2、业绩项目和规范
1.集成项目实施完成后,希望能够为客户提供长期运维服务的组织;2.所开展的运维项目类型为硬件运维、应用系统运维、或硬件与应用系统运维均可,项目的主要环节需要覆盖需求分析、方案设计、运维实施、运维服务报告编写等阶段;1. 公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等;2. 项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出;3.安全运维项目:避免选择纯硬件维护或者纯软件维护的项目, 典型项目应该涉及预警、防护、检测和恢复等环节的内容。4.安全运维的项目阶段:运维设计实施 运维方案设计 服务实施(信息系统配置管理数据库、安全配置库、配置检查记录 日志保存记录与日志审计分析记录、报告;漏扫记录、安全加固记录、补丁安装记录、病毒查杀记录等 )。在传统IT运维项目实施过程中融入“安全性”思维,并贯穿运维项目实施的整个过程:3.在运维服务开展过程中,通过多种手段(资产梳理、配置优化、漏洞检测、安全审计、状态监控、渗透测试等),能够发现问题和隐患,控制风险,使运维对象的信息安全风险保持在偏低水平;4.针对运维服务过程中发现的问题能够及时闭环处理、分析总结。第三:信息安全风险评估
• 依据国际或国家标准中明确的风险计算模型,来对所评估对象目前所存在的信息安全风险进行分析的服务过程;• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段;• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法;• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织;• 希望作为中立的第三方,向需求方提供服务的组织;扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;主机安全性审计工具:用于分析主机系统配置的安全性;信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标;(1) 公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等。Ø 在信息安全管理体系中涉及到了风险评估的相关概念,在信息安全服务资质也涉及到了风险评估,两者在能力要求和方法论上是一致的。Ø 三级:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。Ø 二级:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 息安全漏洞的能力。第四:信息安全应急处理服务资质
1、应急处理的几个阶段
2、什么是应急处理项目
(1)尽量选择真实发生的安全事件的应急而不是应急演练类项目;(2) 选择的案例尽量是网络信息安全类事件的应急;(3) 尽量不选择预防性的应急案例,这种案例一般不能很好体现应急事件的临场分析、处置能力。第五:软件安全开发服务资质
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。持续为所开发的系统提供版本升级、打补丁等维保服务;准备阶段-开发管理计划、风险管理、配置管理,变更管理;需求阶段--需求分析 调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求;第六:信息系统灾难备份与恢复
(1)灾备中心所在地域抗震设防烈度,该中心抗震设防类别。(2)高架地板面积不低于1000/2000/5000平米。(4)灾备中心建设等级满足国标A级或国际T3以上机房要求。(5)灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件 统筹规划、资源共享、平战结合。基础设施要求:计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求;抗震设防要求:按国家规定的权限批准作为一个地区抗震设防的地震烈度称为抗震设防烈度。一般情况下,抗震设防烈度可采用中国地震参数区划图的地震基本烈度。耐火等级:是衡量建筑物耐火程度的分级标度。它由组成建筑物的构件的燃烧性能和耐火极限来确定;机房场地要求:新风换气系统,机房内正压,确保机房洁净度。气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。消防要求:设施阻燃设计、消防报警器、灭火装置、监控与报警等等。机房场地要求:机房门禁管理制度和访问控制程序,如7×24小时门禁\闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留6个月以上。(所有通道、机房内监控)保安措施。园区保安、机房门卫、前台三重审核安全系统要求:外部环境 、内部措施、监控和记录等。基础设施要求供配电设施、空调暖通设施:精密空调系统,具备恒温恒湿要求。监控设施、货运设施、给排水设施、检查制度和定期巡检记录。
基础设施配套;工作环境、灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室、基础生活设施:宿舍、食堂、活动室等。灾备中心运维管理要求:
(4)信息系统灾难恢复指挥系统指挥系统、组织架构、岗位职责、汇报流程、指挥协调工作方法与管理机制4、需要关注
A类:主要看灾备中心场地资源要求、基础设施要求、灾备中心运维管理要求
