遵循ISO/IEC 27001或等级保护要求,协助用户确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系,包括应急预案、人员管理、信息安全管理等,按体系的规定要求进行运作,保持体系运行的有效性。
解决方案架构
客户场景及痛点分析
目前,大多数企业选择在软件临上线前,对软件进行安全扫描和渗透测的方式发现风险,这种在有限时间内,局限性的检查方式,极易导致测试不全面,漏洞难发的情况;即便发现漏洞,漏洞修复难度会更大,漏洞修复成本会更高。等保2.0中明确提出了软件安全的合规性要求,包括“自行软件开发”、“外包软件开发”、“测试验收”等方面,涉及软件开发流程、软件设计、软件研发、源代码审计、安全测试、软件发布等较多内容。
竞争优势
顾问团队拥有多年的实践经验,可将专业技术经验与管理咨询方法及体系实施有机结合。
充分了解认证相关要求,并与国内外著名的认证机构建立了战略合作关系。
客户价值
合规性:满足企业在法律法规、监管机构及上级单位等方面的安全要求。
标准化:规范企业内部信息安全管理,提升信息安全水平;推动信息安全标准化工作,提升管理层信心。
提升安全意识:提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
保证持续运行:全面的网络安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
应用效果
合规性:证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规;
提升安全意识:建立企业员工对网络安全的正确认识与企业规范的管理制度,帮助企业规范员工日常行为,使员工深刻认识网络安全的重要性;
保证持续运行:全面的信息安全管理体系的建立,意味着企业核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
实现风险管理:保证企业自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
成功案例
为国际管道按照ISO 27001标准进行网络安全管理体系建设工作。通过对公司现有的情况进行调研和梳理,对标ISO27001以及业内最佳实践作出差距分析;编制满足ISO27001所需的各类管理制度和管理流程等文档;将梳理的流程与现有IT服务能力管理工具进行整合,进行系统的试运行;最终通过认证机构的审核,获得ISO27001认证。
