面对Internet带来的威胁，许多网络安全服务提供商采取的措施是广泛的利用安全产品,包括运用杀毒软件、防火墙、安全管理、认证授权、加密等手段，并提供相应的产品来进行安全防护，以确保网络的安全。但单一的安全产品，已经难以有效地保证用户的网络安全维护，在技术日新月异的趋势下，用户盼望更为专业的安全服务，尤其是企业、媒体和各类网站等专业用户，他们更加需要一套从系统分析到产品与服务的专业化整体解决方案。 

        作为专业的信息安全管理咨询机构，我们积累了丰富的ISMS建设实践经验，形成完整的方法论体系，能够帮助客户建立符合自身业务要求和标准要求的信息安全管理体系，提升组织信息安全保障能力、确保组织业务持续运行。针对用户的信息安全需求，我们推出了以下专业安全服务。 

一、信息安全风险评估服务

        信息安全风险评估服务是一项以安全性评估和改进为目标的咨询服务。通过对客户信息系统的安全调查，识别信息系统的关键资产、面临的威胁以及存在的脆弱性，量化分析客户信息系统中存在的安全风险，为客户提供风险控制及安全性改进的建议，并协助客户实施各项风险控制措施，以管理信息系统中存在的各种安全风险。

        1、评估模型与方法

        （1）现有信息系统分析：对现有信息系统、所处环境、管理组织、用户的安全需求进行调查分析，是分析工作的基点。

        （2）识别关键资产：根据信息系统分析的结果识别出系统的关键资产，以此为核心进行风险分析工作。

        （3）识别威胁：识别出信息系统主要的安全威胁、以及相应的威胁途径/方式。

        （4）识别脆弱点：通过测试或访谈的形式识别出系统在技术脆弱点与管理方面的薄弱环节，以及组织的事件防范能力。

        （5）分析事件影响：结合组织的安全需求，事件控制能力，信息系统结构综合分析威胁事件对信息系统可能造成的影响。

        （6）综合风险评估：综合关键资产、威胁因素、脆弱点及防范能力、综合事件影响评估组织面临的风险。

        2、风险评估服务内容

        根据客户需求不同，我们可以为客户提供多种类型的评估服务。

        评估内容主要包括：

        （1）设施安全性评估：对信息系统的周边环境、机房设施等进行评估诊断。

        （2）网络安全性评估：对系统所依赖的网络进行安全性评估，包括网络架构、网络设备等。

        （3）平台安全性评估：对终端或服务器平台进行安全性评估诊断，包括硬件配置、操作系统、数据库等。

        （4）数据安全性评估：对数据的完整、机密、可靠、可用等要素进行评估。

        （5）应用安全性评估：对业务应用系统的安全性进行测试和诊断，包括渗透性测试、攻击测试、源代码分析等。

        （6）安全管理评估：对系统的信息安全管理机制进行调查和评估。

        （7）综合风险评估：对设施、网络、平台、应用、管理等方面的安全性进行综合评估。

        3、评估实施流程

        前期准备阶段：

        （1）确定评估范围

        （2）成立评估项目组

        （3）召开项目启动会

        （4）背景资料收集

        （5）确定评估方法

        （6）编制实施方案与计划

        （7）准备评估工具

        现场调查阶段：

        （1）问卷调查

        （2）现场访问

        （3）讨论会议

        （4）技术测试

        风险分析阶段：

        （1）威胁量化

        （2）脆弱性量化

        （3）影响量化

        （4）风险分析与评价

        安全策略阶段：

        （1）确定安全需求

        （2）确定安全目标

        （3）提出风险控制建议

        （4）协助实施风险控制措施 

        参考安全标准

        （1）ISO 13335-1 《IT安全管理指南 第1部分：IT安全概念和模型》

        （2）ISO/IEC 17799 《信息安全管理 实用规则》

        （3）信息保障技术框架——IATF

        （4）信息系统安全风险分析方法—— OCTAVE（Operationally Critical Threat, Asset,  and Vulnerability Evaluation）

        （5）国家标准《信息安全风险评估指南》

二、信息安全管理体系建设（ISMS）服务

        威格顾问认为服务ISMS咨询服务是根据国际标准ISO/IEC 27001:2005，为组织建立完整的信息安全管理体系，以通过ISO/IEC27001管理体系认证为目标的咨询服务。通过差距分析、风险评估、安全规划等各种手段，对组织的11个控制方面，39个控制目标和133项控制要素进行安全控制，建立完善的信息安全管理体系，对内从管理角度防止信息系统出现安全事故或事件，对外树立信息系统可靠性形象，满足顾客要求，提高企业竞争能力。

        1、服务内容

        根据客户需求不同，威格顾问可以为客户提供多种咨询服务。服务内容主要包括：

        （1）建立信息安全管理体系

        （2）ISO/IEC27001认证咨询

        （3）ISO/IEC20000认证咨询

        （4）ISMS宣贯培训

        （5）风险评估、风险管理咨询

        （6）ISMS文件编写咨询

        （7）ISO27001与ISO20000、ISO9001整合咨询

        2、体系建立模型与方法

        （1）Plan规划：根据组织业务运作的安全需求，确定信息安全管理的范围以及安全策略，建 立信息安全组织结构，进行现场调查及差距分析，通过风险评估建立控制目标和方式，编写ISMS体系文件，包括必要的流程和业务持续性计划等工作。计划阶段最重要的部分是设定认证涵盖的范围及区域。

        （2）Do实施：发布及实施ISMS。在实施阶段中三零公司要协助组织实施安全策略、控制 措施、流程、规章制度，并准备适用性报告。同时也需确保所有员工都了解信息安全的重要性，且确保其接受了适当的培训，及有能力执行他们负责的安全工作。此外，还要积极协调所需的资源。

        （3）Check检查：核查的目的是依据方针、目标和实际经验测量，对信息安全管理过程和信

息系统的安全进行监控和验证，并决策者报告结果。确保控制措施都已推行，并能达到既定的目标。该阶段工作内容主要包括内部审核与管理评审。

        （4）Act处置：需要对核查结果采取适当的行动，采取纠正和预防措施进一步提高过程业绩，

以达到对ISMS的持续改进。