信息安全服务内容细解.pdfVIP

1. 信息安全咨询 建设咨询 1. 根据甲方的实际情况，协助甲方对信息系统建设规划方案进行安全评估，为甲方的系统建设最优选择 和规划提供相应的建议。 2. 根据甲方实际情况，协助甲方对集成商提供的信息系统方案进行安全评估，为甲方提供提供相应的建 议。 管理规划 1. 为甲方提供信息安全制度建设咨询服务，协助甲方建立完善信息安全制度，并对信息安全管理制度进 行优化，以适应甲方信息安全工作需要。 2. 根据甲方实际情况，协助甲方制定安全管理制度方面内容，主要包括安全管理制度的制定、安全管理 制度的发布和安全管理制度的评审等过程中应遵守的原则与流程。 3. 根据甲方实际需求，协助甲方制定安全管理机构方面制度，主要包括岗位设置、人员配备、岗位职责 和义务、授权与审批方面的内容，规范甲方信息安全管理工作，建立健全管理体系和管理机制。 4. 根据实际需求，协助甲方制定人员安全管理方面制度，主要包括人员的录用、人员离岗、人员考核、 人员培训和外部人员的访问管理方面内容，使单位人员安全管理制度规范化、程序化、制度化，保障网 络与信息系统的正常运行。 5. 根据实际需求，协助甲方制定系统建设方面制度，主要包括信息安全产品采购、使用管理制度、信息 系统建设管理标准、安全服务外包管理制度、软件开发与维护管理标准、工程实施、系统定级、备案等 方面内容，规范信息化工程项目建设安全管理，提升信息化工程项目建设和管理水平，保障信息化工程 项目建设安全。 6. 根据实际需求，协助甲方制定系统运维方面制度，主要包括物理机房管理制度、介质管理制度、设备 管理制度、网络安全管理制度、系统安全管理制度、备份和恢复管理制度、安全事件的处置流程、应急 预案的管理制度等。 2. 信息安全监理 安全监理 1. 协助甲方采用漏扫设备和手工测试等对新设备、新系统进行评估和测试。对新上的服务器和网络设备 及安全设备，对照方案和要求，检查测试其配置是否按照要求进行。 2. 协助甲方在信息系统验收阶段对整个信息系统进行漏洞扫描和漏洞分析，并提供给甲方真实的检测报 告和整改建议。 原型验证 1. 针对甲方不确定的安全隐患及漏洞进行环境平台模拟，有针对性的进行攻击模拟和渗透测试。 2. 根据测试结果对整个过程进行分析，测试并找出最佳解决方案 3. 针对给出的更新补丁和升级包验证其针对性及可用性，并协助管理员对服务器的WEB应用系统和数据 库打补丁及升级。 3. 信息安全评估 渗透测试 4. 针对甲方的安全需求，定制个性化的测试。测试包括手工对信息系统的全部安全配置的有效性进行验 证、对安全设备的性能和有效性进行测试， 5. 针对甲方需要，整体模拟黑客对甲方指定的数据进行攻击测试。 6. 全面分析整个测试过程，根据木桶原理，找出甲方信息系统安全的短板。 7. 根据甲方的安全规划，提出具体的有效的安全措施和整改建议. 风险评估 1. 对甲方的物理环境、物理设备及系统物理的安全性进行全面的安全评估。 2. 对甲方网络系统的身份鉴别、访问控制、数据流控制、安全审计、可信路径、抗抵赖、网络监控、网 络设备自身等的安全性进行测试和风险评估。 3. 对甲方的服务器、操作系统人、数据库系统进行身份鉴别、用户标示、访问控制、安全审计及、用户 数据存储过程的完整性、保密性、可用性等进行安全评估 4. 对甲方的应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软 件容错性、抗抵赖八个方面进行安全评估。 5. 对甲方数据的备份和灾备恢复管理、灾备恢复策略、灾备恢复物理环境进行安全评估。 6. 对甲方的整体进行评估、全面分析，给出甲方全面的风险评估报告。 7. 根据甲方的测试评估情况，给出甲方对应的整改建议。 8. 协助甲方进行后续的整改工作，有针对性的给出安全措施加强甲方业务重点数据的保护。 4. 信息安全运维 运行维护 1. 为甲方的信息系统，提供季度性周期巡检，主要形式以漏洞扫描和日志统计分析为主，及时发现安全 隐患，并提供周期的安全检查报告。 2. 针对甲方发现的安全漏洞及日志问题，及时给出对应的措施，并协助甲方和其它厂商共同解决问题。 3. 针对甲方的网站，提供每月一次的周期巡检，主要以恶意代码检测、远程安全检测和现场漏洞扫描为 主，及时发现最新的安全隐患。 4. 针对甲方网站发现的安全问题，提出相应的整改措施，协助网站设计人员进行代码修改，协助网站管 理人员进行网站整体安全维护。 5. 定期查看、分析甲方的网站日志，在72小时内给出需要更新的补丁地址和升级地址。 安全保障 1. 针对甲方的备份系统进行每月一次的安全检查，检查其信息系统备份的可用性