需求分析

和记通过对用户常见的信息安全面临的外部及内部需求进行总结,结合自身多年的服务经验,以客户需求为导向建立起一套整体安全服务产品体系。


客户常见的安全需求主要包括外部要求和内部需求两方面:外部要求指客户面临来自国家及行业合规监管要求,从而产生合规管理咨询、等级保护咨询、安全管理咨询等服务需求;内部需求是客户信息系统在规划、设计、建设、运行的全生命周期中面临的各项安全方面的服务需求,包括如何进行安全体系规划设计、定期开展风险评估和加固、如何保障信息系统安全运行、紧急事件有效处置以及如何度量安全运行的情况等。


 

服务框架

  • 和记专业安全服务PSS(Professional Security Services)

    和记专业安全服务团队持续为用户提供安全咨询类、供应链安全类、安全风险管控类、攻防对抗类、安全教育与培训类、安全合规类、工控安全类、安全托管8大类40余种服务产品。

  • 规划咨询类服务 PSS(Professional Security Services)

    围绕客户组织信息系统所支持的业务和管理要求,为组织在安全体系建设规划设计阶段提供咨询、规划与设计服务,主要包含安全规划、安全管理咨询和安全架构设计。
  • 风险管理类服务 RSS(Risk Security Services)

    根据相关要求和标准,从风险管理的角度,对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行评价的过程;主要包含风险评估、威胁检测和脆弱性检测。

  • 合规评价类服务 CSS(Compliance Security Services )

    针对组织与信息安全有关的活动,确保组织是否符合外部合规性法律法规要求和组织已建立的安全策略和安全保障体系进行评价的过程;主要包含等级保护咨询、ISO27000 咨询和安全评价体系。

  • 运维及应急类服务 MSS(Managed Security Services)

    提供面向信息系统运行的安全保障需求,综合采用检查、测试、监控、应急等服务,维持信息系统的安全保障水平;包含预警监控、安全监控、安全巡检、运维值守、应急响应、安全加固等。

 

服务理念

服务理念

信息安全风险永远存在,安全产品不能解决所有的问题。信息安全工作本身是一个过程,它的本质是风险管理。风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验发展。和记强调安全必须为组织和业务服务,以最佳实践(Best Practice)作为信息安全工作的落脚点,通过专业安全服务,能够有效的落实组织安全策略,持续优化安全技术防护效能。

在和记 TSP(诚信的安全产品、安全服务、安全解决方案提供商)理念的指导下,在公司核心技术积累的基础上,经过多年来和千余项重点行业服务项目和国家项目的实践积累,结合国际先进的安全服务最佳实践和经验,在电信、政府、金融、电力等重要行业数千家客户单位经过长时间的实践,形成的一套专业、全面、有效的安全服务解决方案。


 

服务范围

和记专业安全服务提供覆盖客户信息系统规划、设计、建设、运行全生命周期的专业安全服务。

  • 系统规划阶段

    安全规划 

    安全管理咨询 

    等级保护咨询 

    安全评价

  • 系统设计阶段

    风险评估

    应用安全评估

    安全保障架构设计

    安全管理体系咨询

    应急管理体系咨询

    应用开发全生命周期服务咨询


  • 系统建设阶段

    漏洞检测

    渗透测试

    代码审计

    威胁检测

    安全加固


  • 系统运行阶段

    安全预警通告

    安全监控

    运维值守

    应急响应

 

服务特点

 

  • 专业化安全服务

    参与制订了国家和行业多个风险评估、安全服务类相关标准规范;强大的安全研究团队,提交的CVE原创漏洞近1100个;覆盖全国的专业安全服务团队。

  • 可管理的安全服务

    和记专业安全服务采用模块化设计,用户可根据实际需要,定制的安全服务内容,用户对服务过程和结果可视、可管、可控;

  • 成熟、商业化的工具支撑

    在安全服务过程中,和记采用完全自主知识产权、成熟和商业化的安全工具或产品,如漏洞扫描、入侵检测、配置检测等工具系统,保证安全服务交付质量。

 

服务内容

和记专业安全服务内容是基于专业安全服务整体框架进行细分,可以为用户提供多种类别的专业安全服务,主要包含以下内容:

规划咨询

  • 安全架构设计


  • 安全管理咨询


  • 安全规划


规划咨询

  • 安全架构设计

    安全架构设计主要是针对客户信息系统的安全保障需求,设计总体安全策略、制定信息安全建设方案和实施方案,并在此基础上形成安全架构、技术体系和管理体系的设计。

    安全管理咨询

    根据客户应急管理体系,针对各类突发信息安全事件,提供实施层面的应急响应和应急演练。

    安全规划

    信息安全规划服务主要是从客户核心业务、核心价值出发,根据客户的发展战略,通过风险评估等方式提取客户的安全需求,对相应的安全保障目标、任务、措施和步骤进行规划。

风险管理

  • 脆弱性检测


  • 威胁检测


  • 风险评估


风险管理

  • 脆弱性检测

    脆弱性检测主要是针对客户信息系统的安全要求,采取动态的技术手段进行问题发现、符合性和有效性验证;包括配置检测、漏洞扫描、渗透性测试和代码审计。

  • 威胁检测

    针对网络中高级持续性威胁、恶意代码等复杂的高级渗透攻击进行高细粒度检测的专业安全服务。

  • 风险评估

    依据有关信息安全技术与管理标准,从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,通过评估资产面临的的威胁及威胁利用脆弱性导致安全事件的可能性。


运维与应急

  • 安全加固


  • 应急响应


  • 运维值守


  • 安全监控


运维与应急

  • 安全加固

    针对客户在实施风险评估、安全检查和测试过程中发现的各种安全风险、系统漏洞和不符合项,依据既定的信息安全策略,采取措施予以弥补。
  • 应急响应

    根据客户应急管理体系,针对各类突发信息安全事件,提供实施层面的应急响应和应急演练。
  • 运维值守

    根据客户需求,在约定的时间范围内派遣服务人员到客户现场驻场,为客户承担系统安全维护和管理的任务,对客户的信息系统实施安全分析与问题处置。
  • 安全监控

    通过监控工具或平台,对信息系统环境、网络、主机、系统和应用系统实时安全监控,查看各个系统组件的性能、功能及安全状况。


合规评价

  • 安全评价体系咨询


  • 安全评价体系咨询


  • 等级保护评估



合规评价

  • 安全评价体系咨询

    通过对信息安全指标的分析设计,对用户的信息安全架构的功能、效果和效益等方面设计安全评价体系和指标。
  • 安全评价体系咨询

    根据ISO 27001标准,建立完整的信息安全管理体系,达到可接受的信息安全水平,从根本上保证业务的持续性,并辅助通过ISO27001认证。
  • 等级保护评估

    根据国家、地方及行业的等级保护相关政策和标准要求,结合客户信息系统具体情况,为客户提供等级保护评符合性估服务。


其他定制服务

  • 行业定制服务


其他定制服务

  • 行业定制服务

    和记针对不同行业或领域的特定需求,为用户提供行业性和特殊领域的安全服务解决方案,如金融信息科技风险管理咨询、电子银行评估、PCI-DSS合规评估;电信新技术新业务安全评估;税务系统安全策略设计、三同步管理咨询;工业控制系统安全评估等。


  • 规划咨询

      • 安全架构设计

        安全架构设计主要是针对客户信息系统的安全保障需求,设计总体安全策略、制定信息安全建设方案和实施方案,并在此基础上形成安全架构、技术体系和管理体系的设计。

        安全管理咨询

        根据客户应急管理体系,针对各类突发信息安全事件,提供实施层面的应急响应和应急演练。

        安全规划

        信息安全规划服务主要是从客户核心业务、核心价值出发,根据客户的发展战略,通过风险评估等方式提取客户的安全需求,对相应的安全保障目标、任务、措施和步骤进行规划。
  • 风险管理

      • 脆弱性检测

        脆弱性检测主要是针对客户信息系统的安全要求,采取动态的技术手段进行问题发现、符合性和有效性验证;包括配置检测、漏洞扫描、渗透性测试和代码审计。

      • 威胁检测

        针对网络中高级持续性威胁、恶意代码等复杂的高级渗透攻击进行高细粒度检测的专业安全服务。

      • 风险评估

        依据有关信息安全技术与管理标准,从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,通过评估资产面临的的威胁及威胁利用脆弱性导致安全事件的可能性。


  • 运维与应急

      • 安全加固

        针对客户在实施风险评估、安全检查和测试过程中发现的各种安全风险、系统漏洞和不符合项,依据既定的信息安全策略,采取措施予以弥补。
      • 应急响应

        根据客户应急管理体系,针对各类突发信息安全事件,提供实施层面的应急响应和应急演练。
      • 运维值守

        根据客户需求,在约定的时间范围内派遣服务人员到客户现场驻场,为客户承担系统安全维护和管理的任务,对客户的信息系统实施安全分析与问题处置。
      • 安全监控

        通过监控工具或平台,对信息系统环境、网络、主机、系统和应用系统实时安全监控,查看各个系统组件的性能、功能及安全状况。


  • 合规评价

      • 安全评价体系咨询

        通过对信息安全指标的分析设计,对用户的信息安全架构的功能、效果和效益等方面设计安全评价体系和指标。
      • 安全评价体系咨询

        根据ISO 27001标准,建立完整的信息安全管理体系,达到可接受的信息安全水平,从根本上保证业务的持续性,并辅助通过ISO27001认证。
      • 等级保护评估

        根据国家、地方及行业的等级保护相关政策和标准要求,结合客户信息系统具体情况,为客户提供等级保护评符合性估服务。


  • 其他定制服务

      • 行业定制服务

        和记针对不同行业或领域的特定需求,为用户提供行业性和特殊领域的安全服务解决方案,如金融信息科技风险管理咨询、电子银行评估、PCI-DSS合规评估;电信新技术新业务安全评估;税务系统安全策略设计、三同步管理咨询;工业控制系统安全评估等。