联想网御安全服务和等级保护介绍.pptVIP

* * * * * * * * * * * * * * * * * * 谢谢大家！ 等级保护工作成果安全运作 Page * of 12 项目工程 建设 安全风险 管理 安全运行 维护 安全体系 建设 建设期间 运行维护期间 形成运作体系 等级保护工作成果－－安全策略 Page * of 12 《信息安全方针》 xx管理规定 工作流程 xx组织人员职责 xx安全技术规范 《信息安全体系》 xx层面 xx信息安全工作管理办法 xx组织人员职责 xx层面 工作表单 运行维护计划 应急响应计划 xx层面 Page * of 12 风险评估管理平台 成果－安全工作总体思路 1.公司安全的使命和目标 -得到安全目标 我们的方向是什么？ 3.安全现状 4.关键举措和重点工作 -得到总体框架和笼廓 我们做什么？做成什么样子？ -得到工作计划和实施规划 我们怎么做？ 2.安全体系总体框架 5.实施策略选择 6.工作计划 7.建设实施 8.安全运营和持续改进 现在，我们开始作 等级保护实施演练 分组 分成2-3组，每组准备一个系统案例作为分析对象（网站、OA）－－－－5－10分钟 分组分析（20） 资产、网络、资产、业务 定级要素细化 分组点评（15） 提出不足和注意、改进点 总结（20） Page * of 12 系统调查 评估 资产调查 业务应用调查 弱点评估 风险分析 系统定级 定级规则 系统定级 安全域划分 安全域划分 安全域安全要求 方案与策略设计 技术解决方案 安全管理策略 建设实施与整改 安全工程建设 安全整改 体系试运行 等级保护流程回顾 拜访客户的准备 背景资料熟记，显示我们对这事专业 几个文件：名称、文件号、谁发布的 重要会议：谁参加、重要领导姓名、会议主题 拜访会谈的主要内容 说明等保工作的重要性，我们理解很深 重点灌输等保工作的强制性和紧迫性，让他们感觉非做不可 给出我们公司的六点优势 帮他出主意搞到经费 争取非投标方式让我们来做 让每一位客户放心地使用互联网！ 谢 谢！ * * * * * * CISP，（Certified Information Security Professional）--“注册信息安全专家” 是经中国信息安全产品测评认证中心实施国家认证，代表国家对信息安全人员资质的最高认可。是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构和授权测评机构、社会各组织、团体、企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，CISP严格的认证和培训程序赋予其具备专业资质和能力。目前，国内各大安全专业服务公司都具备相应数量的CISP专家。 * 推出机构：中国信息安全产品测评认证中心 课程费用：9800元/人 [考试费用]：1000元/人 [认证费用]：500元/人 认证程序：参加授权机构的培训，参加考试，提交申请，颁发证书 认证申请：人员自制认证 目前通过认证的人数以及人员构成特点：服务商与甲方 前景：发展形式喜人，权威性日渐提高 * 共七期CISP安全培训项目 安全技术及产品 安全管理 安全标准 安全方案 * * * 为北京移动量身定做的信息安全培训 参与人数超过600人，是北京移动最大规模的技术培训之一 * * * * * * * * * * * * * 核心技术-风险评估知识库 联想网御与国家信息中心共同成立了风险评估联合实验室，总结国内外相关标准和最佳实践，结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。 风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法，保证风险评估工作的客观全面。 资产漏洞库： 用于分析系统安全弱点 覆盖全面，大多数品牌的各类主机、网络产品 威胁信息库： 是基于威胁来源、威胁途径、威胁手段的安全威胁资源库，用于分析系统安全威胁 评估方法库： 是风险评估各阶段评估方法、评估流程、检查列表库 报告模版库： 是评估过程各阶段报告模版库 核心技术-安全体系知识库 安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验，结合国家和行业相关信息安全指标，形成了安全体系知识库。安全体系知识库以分级分域为核心思想，采用等级化和体系化的方法，保证信息安全体系科学规范。 分类方法： 第一层针对行业特点分类 第二层针对应用特点分类 第三层针对安全等级分类 第四层针对单元类型分类 各指标库包含内容： 等级安全指标 测评方法 解决方法 适用产品 体系模版包含内容： 体系架构设计模版 安全区域设计模版 产品解决方案模版 各类操作手册模版 各类制度模版 联想网御2008年工作计划 目录 安全服务产品