面對Internet帶來的威脅，許多網絡安全服務提供商采取的措施是廣泛的利用安全產品,包括運用殺毒軟件、防火墻、安全管理、認證授權、加密等手段，并提供相應的產品來進行安全防護，以確保網絡的安全。但單一的安全產品，已經難以有效地保證用戶的網絡安全維護，在技術日新月異的趨勢下，用戶盼望更為專業的安全服務，尤其是企業、媒體和各類網站等專業用戶，他們更加需要一套從系統分析到產品與服務的專業化整體解決方案。 

        作為專業的信息安全管理咨詢機構，我們積累了豐富的ISMS建設實踐經驗，形成完整的方法論體系，能夠幫助客戶建立符合自身業務要求和標準要求的信息安全管理體系，提升組織信息安全保障能力、確保組織業務持續運行。針對用戶的信息安全需求，我們推出了以下專業安全服務。 

一、信息安全風險評估服務

        信息安全風險評估服務是一項以安全性評估和改進為目標的咨詢服務。通過對客戶信息系統的安全調查，識別信息系統的關鍵資產、面臨的威脅以及存在的脆弱性，量化分析客戶信息系統中存在的安全風險，為客戶提供風險控制及安全性改進的建議，并協助客戶實施各項風險控制措施，以管理信息系統中存在的各種安全風險。

        1、評估模型與方法

        （1）現有信息系統分析：對現有信息系統、所處環境、管理組織、用戶的安全需求進行調查分析，是分析工作的基點。

        （2）識別關鍵資產：根據信息系統分析的結果識別出系統的關鍵資產，以此為核心進行風險分析工作。

        （3）識別威脅：識別出信息系統主要的安全威脅、以及相應的威脅途徑/方式。

        （4）識別脆弱點：通過測試或訪談的形式識別出系統在技術脆弱點與管理方面的薄弱環節，以及組織的事件防范能力。

        （5）分析事件影響：結合組織的安全需求，事件控制能力，信息系統結構綜合分析威脅事件對信息系統可能造成的影響。

        （6）綜合風險評估：綜合關鍵資產、威脅因素、脆弱點及防范能力、綜合事件影響評估組織面臨的風險。

        2、風險評估服務內容

        根據客戶需求不同，我們可以為客戶提供多種類型的評估服務。

        評估內容主要包括：

        （1）設施安全性評估：對信息系統的周邊環境、機房設施等進行評估診斷。

        （2）網絡安全性評估：對系統所依賴的網絡進行安全性評估，包括網絡架構、網絡設備等。

        （3）平臺安全性評估：對終端或服務器平臺進行安全性評估診斷，包括硬件配置、操作系統、數據庫等。

        （4）數據安全性評估：對數據的完整、機密、可靠、可用等要素進行評估。

        （5）應用安全性評估：對業務應用系統的安全性進行測試和診斷，包括滲透性測試、攻擊測試、源代碼分析等。

        （6）安全管理評估：對系統的信息安全管理機制進行調查和評估。

        （7）綜合風險評估：對設施、網絡、平臺、應用、管理等方面的安全性進行綜合評估。

        3、評估實施流程

        前期準備階段：

        （1）確定評估范圍

        （2）成立評估項目組

        （3）召開項目啟動會

        （4）背景資料收集

        （5）確定評估方法

        （6）編制實施方案與計劃

        （7）準備評估工具

        現場調查階段：

        （1）問卷調查

        （2）現場訪問

        （3）討論會議

        （4）技術測試

        風險分析階段：

        （1）威脅量化

        （2）脆弱性量化

        （3）影響量化

        （4）風險分析與評價

        安全策略階段：

        （1）確定安全需求

        （2）確定安全目標

        （3）提出風險控制建議

        （4）協助實施風險控制措施 

        參考安全標準

        （1）ISO 13335-1 《IT安全管理指南 第1部分：IT安全概念和模型》

        （2）ISO/IEC 17799 《信息安全管理 實用規則》

        （3）信息保障技術框架——IATF

        （4）信息系統安全風險分析方法—— OCTAVE（Operationally Critical Threat, Asset,  and Vulnerability Evaluation）

        （5）國家標準《信息安全風險評估指南》

二、信息安全管理體系建設（ISMS）服務

        威格顧問認為服務ISMS咨詢服務是根據國際標準ISO/IEC 27001:2005，為組織建立完整的信息安全管理體系，以通過ISO/IEC27001管理體系認證為目標的咨詢服務。通過差距分析、風險評估、安全規劃等各種手段，對組織的11個控制方面，39個控制目標和133項控制要素進行安全控制，建立完善的信息安全管理體系，對內從管理角度防止信息系統出現安全事故或事件，對外樹立信息系統可靠性形象，滿足顧客要求，提高企業競爭能力。

        1、服務內容

        根據客戶需求不同，威格顧問可以為客戶提供多種咨詢服務。服務內容主要包括：

        （1）建立信息安全管理體系

        （2）ISO/IEC27001認證咨詢

        （3）ISO/IEC20000認證咨詢

        （4）ISMS宣貫培訓

        （5）風險評估、風險管理咨詢

        （6）ISMS文件編寫咨詢

        （7）ISO27001與ISO20000、ISO9001整合咨詢

        2、體系建立模型與方法

        （1）Plan規劃：根據組織業務運作的安全需求，確定信息安全管理的范圍以及安全策略，建 立信息安全組織結構，進行現場調查及差距分析，通過風險評估建立控制目標和方式，編寫ISMS體系文件，包括必要的流程和業務持續性計劃等工作。計劃階段最重要的部分是設定認證涵蓋的范圍及區域。

        （2）Do實施：發布及實施ISMS。在實施階段中三零公司要協助組織實施安全策略、控制 措施、流程、規章制度，并準備適用性報告。同時也需確保所有員工都了解信息安全的重要性，且確保其接受了適當的培訓，及有能力執行他們負責的安全工作。此外，還要積極協調所需的資源。

        （3）Check檢查：核查的目的是依據方針、目標和實際經驗測量，對信息安全管理過程和信

息系統的安全進行監控和驗證，并決策者報告結果。確保控制措施都已推行，并能達到既定的目標。該階段工作內容主要包括內部審核與管理評審。

        （4）Act處置：需要對核查結果采取適當的行動，采取糾正和預防措施進一步提高過程業績，

以達到對ISMS的持續改進。