【正文】 落實持續(xù)有效的進度監(jiān)控機制，及時? 《服務(wù)實施計劃》33 / 53掌握項目進度狀態(tài)及趨勢，發(fā)現(xiàn)重大進度問題，為項目決策和協(xié)調(diào)提供支持。35 / 53第 5 章 啟明星辰擁有完善的專業(yè)安全產(chǎn)品線，橫跨防火墻/UTM、入侵檢測管理、網(wǎng)絡(luò)審計、終端管理、加密認證等技術(shù)領(lǐng)域，共有百余個產(chǎn)品型號，并根據(jù)客戶需求不斷增加。37 / 53第 5 章 作為北京奧組委獨家中標的核心信息安全產(chǎn)品、服務(wù)及解決方案提供商，奧帆委唯一信息安全供應(yīng)商，啟明星辰受到獨家官方授權(quán),全面負責(zé)奧運會主體網(wǎng)絡(luò)系統(tǒng)的安全保障，得到了國家主管部門的大力嘉獎。第 5 章 那么如何才能找到管理與技術(shù)之間的平衡呢？答案就是通過結(jié)構(gòu)化的信息安全規(guī)劃與設(shè)計。41 / 53第 5 章第 5 章 圖7第 5 章 多年來，啟明星辰公司承擔了千余項大中型安全風(fēng)險評估、安全管理與監(jiān)控、安全管理咨詢、等級保護咨詢、安全審計咨詢及綜合性安全服務(wù)等方面的項目，公司的安全服務(wù)發(fā)展經(jīng)過了一個輝煌的歷程 ：第 5 章42 / 53第 5 章 圖8第 5 章 服務(wù)資質(zhì)優(yōu)勢第 5 章 啟明星辰擁有全面的安全資質(zhì)，其中安全服務(wù)資產(chǎn)包括如下所示第 5 章 編號第 5 章 資質(zhì)名稱第 5 章 1第 5 章 《信息安全服務(wù)資質(zhì)（一級風(fēng)險評估服務(wù)） 》 第 5 章 2第 5 章 《信息安全服務(wù)資質(zhì)（一級應(yīng)急處理服務(wù)） 》第 5 章 3第 5 章 《北京市信息安全服務(wù)能力等級證書一級》第 5 章 4第 5 章 《國家信息安全認證信息安全服務(wù)資質(zhì)證書（安全工程類二級） 》第 5 章 5第 章 《國家信息安全認證信息安全服務(wù)資質(zhì)證書（安全開發(fā)類一級） 》43 / 53第 5 章 6第 5 章 《計算機信息系統(tǒng)集成資質(zhì)二級》 第 5 章 7第 5 章 《國家級網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位》第 5 章 8第 5 章 《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書（甲級）第 5 章 9第 5 章 《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書（軟件開發(fā)單項）第 5 章 10第 5 章 《CMMI3 認證證書》第 5 章 11第 5 章 《質(zhì)量管理體系認證證書》第 5 章 表1144 / 53第 5 章16圖9第 5 章 團隊保障優(yōu)勢第 5 章 　 啟明星辰公司擁有國內(nèi)最具實力的安全產(chǎn)品開發(fā)隊伍，國際一流的黑客攻防技術(shù)研究團隊 —積極防御實驗室（ADLAB） ，國際一流的安全運營服務(wù)團隊 —M2S 安全運營中心，國內(nèi)一流的安全體系設(shè)計及咨詢團隊 —前線技術(shù)專家團（VF） ，國內(nèi)一流的安全系統(tǒng)集成團隊和國內(nèi)首家企業(yè)網(wǎng)絡(luò)安全博士后工作站。信息安全保障本質(zhì)就是風(fēng)險管理的工作，信息安全風(fēng)險和事件不可能完全避免，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險。但以上兩部分的工作開展都需要消耗客戶的資源。近年來，發(fā)展成為國內(nèi)統(tǒng)一威脅管理、安全管理平臺國內(nèi)市場第一位，安全性審計、安全專業(yè)服務(wù)市場領(lǐng)導(dǎo)者。在項目實施過程中，需要通過一系列相關(guān)的會議對項目過程中的關(guān)鍵問題進行交流、討論和決策，根據(jù)會議召開時間的不同，具體可以分為定期會議和非定期會議兩大類。PMM4?從工作流程和關(guān)鍵領(lǐng)域兩個維度明確提供了項目管理過程中的主要工作過程和關(guān)注內(nèi)容，并提供了大量的項目管理工具，例如：各類匯總報告格式、表格、模板等，能夠為項目管理的具體實施提供參考和依據(jù)。另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險值的基準，對達到相應(yīng)等級的風(fēng)險都進行處理。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。每個等級代表了相應(yīng)風(fēng)險的嚴重程度。2) 服務(wù)內(nèi)容? 風(fēng)險計算在完成以上各項階段評估工作后，進一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法,利用了系統(tǒng)的何種脆弱性，對哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性，同時將風(fēng)險量化。從而為最后綜合風(fēng)險分析提供參考數(shù)據(jù)。脆弱性識別類型 技術(shù)脆弱性識別內(nèi)容 識別方法物理環(huán)境? 對信息系統(tǒng)所處的物理環(huán)境即機房、線路、客戶端的支撐設(shè)施等進行脆弱性識別，內(nèi)容主要有：門禁系統(tǒng)、報警系統(tǒng)、監(jiān)控系統(tǒng)、防雷擊接地、防靜電、UPS、消防系統(tǒng)、防電磁泄露、弱電系統(tǒng)、防塵、溫室控制和機房容災(zāi)備份等。4 高? 出現(xiàn)的頻率較高（或≥ 1 次/月） ；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。4 高 重要，其安全屬性破壞后可能對組織造成比較嚴重的損失。3) 成果輸出：《服務(wù)實施綜合計劃》. 資產(chǎn)評估1) 服務(wù)目標 對被評估信息系統(tǒng)的關(guān)鍵資產(chǎn)進行識別，并合理分類；在資產(chǎn)識別過程中，需要詳細識別關(guān)鍵資產(chǎn)的安全屬性，重點識別出資產(chǎn)在遭受泄密、中斷、損害25 / 53等破壞時所遭受的影響，并根據(jù)資產(chǎn)在遭受泄密、中斷、損害等破壞時所遭受的影響，對資產(chǎn)的價值進行賦值。因此，在風(fēng)險評估實施前，應(yīng)確定風(fēng)險評估的目標與范圍、進行系統(tǒng)調(diào)研、制定風(fēng)險評估計劃、獲得客戶管理者對風(fēng)險評估工作支持。22 / 53系統(tǒng)建設(shè)管理評估? 系統(tǒng)建設(shè)管理包括系統(tǒng)定級、安全風(fēng)險分析、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全測評、系統(tǒng)備案等信息系統(tǒng)安全等級建設(shè)的各個方面。業(yè)務(wù)流程評估? 評估對象：業(yè)務(wù)流程? 評估內(nèi)容：依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程，識別客戶業(yè)務(wù)流程的安全隱患。為了解服務(wù)系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將對應(yīng)用系統(tǒng)進行滲透測試。它也可以找出黑客攻破系統(tǒng)的跡象，并提出修補建議。根據(jù)現(xiàn)有文檔分析整理結(jié)果，制定相關(guān)調(diào)研表進行信息資產(chǎn)調(diào)研信息補充。? 幫助客戶建立信息安全風(fēng)險管理機制。? 幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，通過如工具掃描，滲透測試，人工審計等多種技術(shù)手段，全面分析客戶信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種安全問題，同時將發(fā)現(xiàn)的安全問題與信息資產(chǎn)的重要程度相關(guān)聯(lián)，明確當前的安全風(fēng)險。通過工具掃描之后，對評估范圍內(nèi)的資產(chǎn)脆弱性進行統(tǒng)計，重在描述高風(fēng)險、中風(fēng)險、低風(fēng)險的數(shù)量以及百分比等情況。風(fēng)險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預(yù)期效果、實施條件、進度安排、責(zé)任部門等。. 風(fēng)險綜合分析風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。威脅評估采用的方法是問卷調(diào)查、問詢、數(shù)據(jù)取樣、日志分析。同時，根據(jù)安全專家的建議，客戶可以在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面做出正確的選擇。信息安全工作本身是一個過程，它的本質(zhì)是風(fēng)險管理。 2022 年? 為保障十七大，在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開了自評估工作。運用風(fēng)險評估方法去識別安全風(fēng)險，解決信息安全問題得到了廣泛的認識和應(yīng)用。____________________________信息安全啟明星辰風(fēng)險評估服務(wù)宣傳手冊____________________________北京啟明星辰信息安全技術(shù)有限公司2 / 53文檔記錄信息文檔名稱 啟明星辰風(fēng)險評估服務(wù)技術(shù)白皮書制作部門 前線技術(shù)中心服務(wù)產(chǎn)品化管理部版本 修正歷史 日期 作者 聯(lián)系方式文檔核準信息版本 核準日期 核準人 所屬部門 備注3 / 53版權(quán)聲明北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。 （中國移動、電力、稅務(wù)、證券）至今? 經(jīng)過多年實踐，風(fēng)險評估是“一種度量信息安全狀況的科學(xué)方法” ，通過對網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險要素的識別、分析、評價，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的安全風(fēng)險，通過安全加固，使高風(fēng)險降低到可接受的水平，7 / 53從而提高信息安全風(fēng)險管理的水平。風(fēng)險管理工作不僅僅是一個簡單的理論、方法，更需要在實踐中檢驗發(fā)展。啟明星辰信息安全風(fēng)險評估服務(wù)綜合國內(nèi)外相關(guān)標準與業(yè)界最佳實踐，為客戶清晰的展現(xiàn)信息系統(tǒng)當前的安全現(xiàn)狀、安全風(fēng)險，提供公正、客觀數(shù)據(jù)作9 / 53為決策參考，為客戶下一步控制和降低安全風(fēng)險、改善安全狀況、實施信息系統(tǒng)的風(fēng)險管理提供依據(jù)，從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視，為客戶后續(xù)信息安全工作爭取支持，為客戶后續(xù)信息安全順利開展爭取資源和地位，風(fēng)險評估能夠幫助客戶從技術(shù)、管理方面或全面摸清家底、做到知己知彼，順利進行信息系統(tǒng)安全規(guī)劃、設(shè)計、建設(shè)。在這一過程中，首先要對組織需要保護的每一項關(guān)鍵資產(chǎn)進行威脅識別。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮風(fēng)險處置是一種系統(tǒng)化方法，可通過多種方式實現(xiàn)：? 風(fēng)險接受：接受潛在的風(fēng)險并繼續(xù)運行信息系統(tǒng)，不對風(fēng)險進行處理。. 風(fēng)險處置計劃綜合報告后的輔助報告，通過綜合分析，了解了當前的安全現(xiàn)狀，提出了針對當前問題的信息系統(tǒng)總體安全解決方案。? 幫助客戶了解自身存在信息安全管理漏洞，再好的設(shè)備，也是由人進行操作的，通過訪談、問卷等多種手段，啟明將協(xié)助客戶管理層了解當前的信息安全管理制度是否存在漏洞，已經(jīng)正式發(fā)布的安全管理制度是否得到了落實和執(zhí)行。為客戶對網(wǎng)絡(luò)與信息系統(tǒng)進行安全風(fēng)險管理奠定基石，幫助客戶在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面作出最佳的選擇。? 制定訪談提綱，對相關(guān)人員進行訪談。? 工具評估最突出的優(yōu)點是評估工作可由軟件來自動進行，速度快，效率高。滲透測試將作為安全評估的一個重要組成部分。表2. 管理評估評估類型 評估范圍安全管理制度評估? 評估內(nèi)容：安全管理制度一般是文檔化的，被正式制定、評審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個塔字結(jié)構(gòu)的文檔體系。信息系統(tǒng)的安全是一個過程，是一項工程，它不但涉及到當前的運行狀態(tài)，而且還關(guān)系到信息系統(tǒng)安全建設(shè)的各個階段。2) 服務(wù)內(nèi)容24 / 53? 確定風(fēng)險評估的目標與范圍根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險大小。2) 服務(wù)內(nèi)容? 資產(chǎn)識別資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護價值。3 中 比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪問、語音、視頻訪問等形式，直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。3 中? 出現(xiàn)的頻率中等（或 1 次/半年） ；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。? 問卷訪談? 人工審計28 / 53網(wǎng)絡(luò)結(jié)構(gòu)? 網(wǎng)絡(luò)結(jié)構(gòu)安全、訪問控制策略與措施、網(wǎng)絡(luò)設(shè)備策略與配置、安全設(shè)備策略與配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負載分析評估等。脆弱性嚴重程度的賦值方法如下：等級 標識 定義5 很高 如果被威脅利用，將對資產(chǎn)造成完全損害。風(fēng)險計算方法：? 綜合風(fēng)險計算方法：? 根據(jù)風(fēng)險計算公式 R= f(A,V,T)=f(Ia,L(Va,T))，? 即：風(fēng)險值=資產(chǎn)價值威脅可能性弱點嚴重性 （注：R 表示風(fēng)險；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia 表示資產(chǎn)發(fā)生安全事件后對組織業(yè)務(wù)的影響(也稱為資產(chǎn)的重要程度)；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。每個等級代表了相應(yīng)風(fēng)險的嚴重程度。2) 服務(wù)內(nèi)容在分析階段完成之后，將根據(jù)風(fēng)險分析的結(jié)果，結(jié)合國家有關(guān)的法律、法31 / 53規(guī)，總結(jié)出客戶當前的安全需求。3) 成果輸出：《風(fēng)險處置計劃》. 服務(wù)驗收1) 服務(wù)目標在以上幾個階段完成后，向客戶匯報風(fēng)險評估情況，詳細介紹被評估信息系統(tǒng)所面臨的風(fēng)險，清晰的表達所面臨的威脅狀況、威脅所利用的脆弱性、產(chǎn)生的影響等狀況，并在描述安全風(fēng)險之后表述出采取何種對策防范威脅、減少脆弱性。. 管理組成服務(wù)管理名稱 服務(wù)管理內(nèi)容 服務(wù)管理輸出服務(wù)范圍管理? 范圍管理通過對項目范圍的明確界定以及過程中變更的嚴格控制，使整個項目各項工作自始至終嚴格貫徹立項的宗旨，既無工作內(nèi)容遺漏，也不存在未經(jīng)授權(quán)的范圍超出，從而保障項目的圓滿完成。? 《服務(wù)會議紀要》服務(wù)文檔管理? 在項目過程中會產(chǎn)生數(shù)量眾多的各種類型文檔，為了確保項目內(nèi)文檔傳遞的順暢、信息溝通的便捷，在實施過程中必須遵循一定的文檔管理規(guī)范。作為信息安全行業(yè)的領(lǐng)軍企業(yè)，啟明星辰以用戶需求為根本動力，研究開發(fā)了完善的專業(yè)安全產(chǎn)品線。對于開展信息安全管理工作來說，勢必會大大增加客戶的行政成本，通過啟明在業(yè)界的長期信息安全工作實踐經(jīng)驗證明：如果在開展信息安全管理工作的過程中，行政管理資源投入不足，將會導(dǎo)致管理工作失效，組織的安全管理不可控；同樣對于信息安全技術(shù)產(chǎn)品來說，也存在需要投入大量資金成本，但在資金有限的情況下，又存在著產(chǎn)品功能冗余，廠商產(chǎn)品眾多，難以維護等問題。40 / 53第 5 章 風(fēng)險評估工作是獲得客戶信息安全問題或風(fēng)險的重要工具和手段，也是風(fēng)險管理的基石，是信息安全