搜索

产品与服务            解决方案            成功案例            媒体中心            关于我们

版权所有:中盈优创资讯科技有限公司      备案号:京ICP备14036415号-1      网站建设:中企动力  南京 

>
数据与信息安全

数据与信息安全

浏览量

安全服务

没有此类产品
产品描述

  一、客户需求

 

中盈优创资讯科技有限公司作为国有控股的安全解决方案提供商,其基于在电信行业二十年的深耕以及云网融合背景下的网络安全的深刻理解,结合自身多年的服务经验以客户需求为导向建立起一套整体安全服务产品体系。

    面向客户的需求一方面来自于外部即:客户面临来自国家及行业合规监管要求,从而产生合规管理咨询、等级保护咨询、安全管理咨询等服务需求,中盈优创提供完整的安全服务;另一方面为客户内部自身需求,即客户信息系统在规划、设计、建设、运行的全生命周期中面临的各项安全方面的服务需求,包括如何进行安全体系规划设计、定期开展风险评估和加固、如何保障信息系统安全运行、紧急事件有效处置以及如何度量安全运行的情况等,中盈优创可以为客户量身定制全方位一体化的解决方案。

 

  二、技术服务

 

    中盈优创基于多年攻防技术研究和大量项目实践,我们向客户提供贯穿信息系统完整生命周期的专业安全技术服务,主要包括:

 

安全技术方案设计: 根据客户信息系统的业务目标和行业监管要求,分析和提炼安全需求,制定符合客户信息系统现状的安全技术规划和安全架构方案,从根本上提高信息系统安全性。

 

源代码审计 : 针对客户的程序源代码进行审计,查找出源代码中的安全漏洞和安全隐患。

 

安全测试:根据客户信息系统的现状制定安全测试指标和测试方案,为WEB应用、二进制程序以及移动APP提供全面的安全性测试服务,验证安全防护体系的完整性和有效性。

 

安全加固: 根据中盈安全配置基线,为客户网络设备、主机操作系统和应用软件制定有针对性地安全加固方案,协助客户完成加固。

 

渗透测试:在客户授权的情况下,由经验丰富的安全顾问/专家尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,在可控制范围内尝试找出全部的安全隐患,并向客户提供评测报告和安全建议。

 

安全运维:协助客户进行信息系统的安全性运维工作,包括安全设备巡检、漏洞扫描、配置核查、日志分析、病毒分析查杀、漏洞预警和补丁安装等。

 

应急响应:当客户业务系统出现紧急安全问题时,我们可以提供远程及现场的安全技术支持,协助处理安全事件。

 

安全技术研究 :根据客户的要求进行安全技术专题研究,例如国家或行业课题、技术攻关等。

 

  三、咨询服务

 

    中盈安全咨询服务团队依托深厚的知识体系和丰富的行业经验,依据国际/国内标准和行业监管规范,协助各行业客户立足于实际现状,面向信息安全风险,采取适当的管理过程和控制措施,建立和维护全面、有效、合规的信息安全管理体系,整体提升信息安全管理成熟度,保障业务运营和战略达成。安全咨询服务主要包含:

    信息系统安全风险评估服务: 对客户的重要信息系统,识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素,对重要信息系统所面临的信息安全风险进行识别和定性评估,并对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。

    信息安全保障体系设计规划咨询服务:对于客户基于风险评估结果和监管合规要求,提出的信息安全保障体系设计规划需求,向客户提供专业咨询服务,立足于客户信息处理设施和信息安全管理现状,依据信息安全相关的国际/国内标准规范、协助客户建立信息安全保障的建设目标,选择和组合信息安全控制措施,完成信息安全保障体系架构设计,并合理规划信息安全保障体系的建设步骤和资源投入,最终达成有序提升信息安全风险管控能力,保障信息系统安全运营的目标。

    信息安全管理体系建设咨询服务:对于客户关于信息安全管理体系(ISMS)的建设和认证需求,向客户提供专业咨询服务,参照国际标准ISO27001、ISO27002、以及国内标准GB/T22080、GB/T22081,按照PDCA的完整管理过程,确定体系实施范围、实施安全风险评估、选择和实施安全控制措施、编写与制订文档化的体系文件、完成信息安全管理体系的导入运行、实施信息安全管理体系评审和内部审核、推荐和选择体系认证机构并配合完成体系认证审核、培训客户方人员通过内审员认证,从而确保客户建立和维护完整、有效的信息安全管理体系,为客户关键业务运营提供充足的安全保障。

    重要信息系统信息安全等级保护合规设计与建设咨询服务:参照国家等级保护标准GB/T22239、GB/T22240及行业等级保护标准要求,向客户提供重要信息系统信息安全等级保护合规建设过程的专业咨询服务,协助客户完成系统定级和备案、信息安全技术和管理体系设计和实施、以及等级保护测评等工作,确保客户方重要信息系统符合国家和行业关于信息安全等级保护的监管要求,具备足够的信息安全保障能力。

    信息科技风险管理体系建设咨询服务:主要面向银行业客户提供专业咨询服务,依据人民银行和银监会的监管规范要求,协助银行业客户建立起职责分工明确的“三道防线”信息科技治理架构,以及全面、合规、有效的信息科技风险管控体系,内容范围涵盖信息科技治理、信息科技风险管理、信息科技外包管理、信息科技业务连续性管理、信息安全管理、信息开发与项目建设管理、信息系统运行维护管理、以及信息科技审计监督管理等八方面。通过管理制度、流程、过程记录等正式文档化的成果交付,确保与信息科技风险管理有关的管理要求实现规范化和常态化落地执行,从而提升银行业客户的信息科技风险管控能力,为银行关键业务持续稳定运营提供保障。

 

  四、安全培训

 

    中盈优创安全培训服务目前聚焦于企业客户,主要面向企业内的信息安全技术和管理人员,从三个不同维度考虑来设计培训课程以满足企业客户获取安全知识和经验的需求,从而使客户最终达到强化安全意识,理解安全理论,掌握安全技术,获得安全实践经验,通过安全认证,能够融会贯通并应用于所在企业的安全建设当中。

    从业务和行业特性考虑,针对金融、运营商、能源、政府、教育、医疗等行业研究成果和建设方案进行综合培训;

    从受众知识技能掌握程度,有针对性的设置不同难度等级,分为初级、中级、高级;

    从知识专业程度角度,提升客户理论能力和实际操作能力,涉及安全意识、安全管理、安全技术、安全实践、安全认证多个方面。

 

  五、安全实施

 

    依据客户信息系统等级保护级别,并结合《信息安全技术-信息系统安全等级保护实施指南》和《信息安全技术-信息系统安全等级保护基本要求》中的技术和管理要求进行安全技术和策略部署。技术控制点含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;管理控制点含:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护。
    依据国家标准《涉及国家秘密的信息系统分级保护技术要求》和《涉及国家秘密的信息系统分级保护管理规范》进行物理安全防护、安全设备配置、系统策略细化、管理规范建设、运行维护管理等建设实施。严格按照信息系统安全保密防护框架内容展开(如下图):

 


 

 

  六、安全实施

 

通过运用相关安全扫描工具,结合行业经验,提供定期对信息系统的主机操作系统、数据库系统、WEB应用、网络设备、主机设备、安全设备进行安全漏洞扫描,并对扫描出现的漏洞进行分析、整理,形成报告供客户进行分析。
通过人工检查方式定期对各资产状态、安全策略、设备性能进行有效性和时效性安全检查,对可能出现的安全风险和管理风险第一时间通报客户负责人,以降低安全事件的发生频率。

 

未找到相应参数组,请于后台属性模板中添加
暂未实现,敬请期待
暂未实现,敬请期待

云网安全

安全分析

安全管理

安全服务