資源描述:
《什么是信息安全服務(wù)》由會(huì)員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1���、信息安全服務(wù)目錄什么是信息安全服務(wù)信息安全服務(wù)的作用選擇信息安全服務(wù)的基本的法則對(duì)信息安全服務(wù)商的基本要求1.管理要求2.技術(shù)要求3.高級(jí)要求信息安全服務(wù)商的面臨的問(wèn)題我國(guó)信息安全服務(wù)的重點(diǎn)發(fā)展方向1.安全咨詢服務(wù)2.等級(jí)測(cè)評(píng)服務(wù)3.風(fēng)險(xiǎn)評(píng)估服務(wù)4.安全審計(jì)服務(wù)5.運(yùn)維管理服務(wù)6.安全培訓(xùn)服務(wù)什么是信息安全服務(wù)信息安全服務(wù)的作用選擇信息安全服務(wù)的基本的法則對(duì)信息安全服務(wù)商的基本要求1.管理要求2.技術(shù)要求3.高級(jí)要求信息安全服務(wù)商的面臨的問(wèn)題我國(guó)信息安全服務(wù)的重點(diǎn)發(fā)展方向1.安全咨詢服務(wù)2.等級(jí)測(cè)評(píng)服務(wù)
2�����、3.風(fēng)險(xiǎn)評(píng)估服務(wù)4.安全審計(jì)服務(wù)5.運(yùn)維管理服務(wù)6.安全培訓(xùn)服務(wù)展開(kāi)編輯本段什么是信息安全服務(wù) 信息安全服務(wù)是指適應(yīng)整個(gè)安全管理的需要����,為企業(yè)�����、政府提供全面或部分信息安全解決方案的服務(wù)����。信息安全服務(wù)提供包含從高端的全面安全體系到細(xì)節(jié)的技術(shù)解決措施。編輯本段信息安全服務(wù)的作用 目前���,國(guó)內(nèi)政府和企業(yè)中信息安全建設(shè)多處在較初級(jí)的階段,缺乏信息安全的合理規(guī)劃��,也普遍缺乏相應(yīng)的安全管理機(jī)制�����,這些問(wèn)題受到整體管理水平和信息化水平的限制�����,在短期內(nèi)很難根本改變���。當(dāng)前國(guó)內(nèi)的信息安全服務(wù)商紛紛提出了自己的安全服務(wù)體系��,
3�、一般都包括信息安全評(píng)估、加固���、運(yùn)維、教育����、風(fēng)險(xiǎn)管理等。這些西方背景的先進(jìn)的理念在吸引用戶的同時(shí)��,給用戶造成了很大的迷茫��,很多用戶購(gòu)買安全服務(wù)的直接動(dòng)機(jī)是應(yīng)付當(dāng)前的安全事件、滿足管理層的意志或減輕來(lái)自內(nèi)外的輿論壓力�����,服務(wù)形式內(nèi)容和現(xiàn)實(shí)需求之間存在較大落差�����。 必須承認(rèn)當(dāng)前信息安全服務(wù)對(duì)用戶的幫助主要在技術(shù)方面����,對(duì)管理的影響是有限的。用戶普遍遇到的最大問(wèn)題是自身資源不足����,實(shí)際是“安全管理員”的缺位����,其次是對(duì)基本管理體系探索的需求���。從用戶的角度來(lái)看,信息安全服務(wù)能帶來(lái)的實(shí)際好處包括:彌補(bǔ)用戶人力的不足����,彌補(bǔ)用
4、戶技術(shù)的不足��,彌補(bǔ)用戶信息的不足���,彌補(bǔ)用戶管理思想的不足。這些服務(wù)內(nèi)容主要通過(guò)服務(wù)團(tuán)隊(duì)特別是一線人員傳遞到用戶的手中����,服務(wù)人員的技術(shù)技能和態(tài)度將直接決定用戶的收益���。編輯本段選擇信息安全服務(wù)的基本的法則 1、謹(jǐn)慎選擇廠商和服務(wù)內(nèi)容 用戶在選擇服務(wù)商的時(shí)候�,遇到的困惑之一是服務(wù)廠商的服務(wù)內(nèi)容的同質(zhì)化,市場(chǎng)排名或成本因素往往成了選擇的主要標(biāo)準(zhǔn)�,這是不理性的��。真正重要因素是服務(wù)商的安全現(xiàn)狀和安全目標(biāo)的理解和認(rèn)可程度��,并能否針對(duì)性地提出合理的服務(wù)內(nèi)容和方案;服務(wù)人員的技能考察非常重要�,取得安全服務(wù)資格的廠商并
5����、不一定能具有真正的服務(wù)能力,用戶方的負(fù)責(zé)人員和實(shí)際服務(wù)人員的深入交流一般會(huì)提供鑒別的依據(jù)��;服務(wù)商的服務(wù)管理能力和信用等也是考察的要點(diǎn)�?! ?���、引導(dǎo)與監(jiān)控安全服務(wù)進(jìn)程 在安全服務(wù)的實(shí)施過(guò)程中,需要用戶的積極參與����。雖然在服務(wù)契約簽訂時(shí)�,雙方已經(jīng)初步確定了服務(wù)的內(nèi)容和目標(biāo),但這些內(nèi)容和目標(biāo)往往是抽象的�,高素質(zhì)的服務(wù)人員會(huì)依此主動(dòng)發(fā)現(xiàn)問(wèn)題���,提供合理的建議,普通服務(wù)人員常常不具備這種能力�����。但無(wú)論哪種情況��,用戶的引導(dǎo)和監(jiān)控都是必要的���,服務(wù)商對(duì)用戶的信息系統(tǒng)的認(rèn)識(shí)程度是有限的,能夠介入的范圍也很狹窄���,用戶應(yīng)當(dāng)用需求
6、或目標(biāo)來(lái)引導(dǎo)和監(jiān)控服務(wù)的實(shí)施�,甩手掌柜式的用戶會(huì)導(dǎo)致安全服務(wù)的效力無(wú)法發(fā)揮和自身能力的停滯���?�! ?、善于放大安全服務(wù)的效力 信息安全服務(wù)是一項(xiàng)借用外腦的活動(dòng)�,一般用戶更情愿在軟硬件系統(tǒng)的購(gòu)買上投入資金��,卻對(duì)安全服務(wù)比較質(zhì)疑�,原因是認(rèn)為服務(wù)既是無(wú)形的�,又不創(chuàng)造經(jīng)濟(jì)效益。其實(shí),用戶是可以將安全服務(wù)的效力放大的�����,如果僅把安全服務(wù)看作是僅對(duì)it部門的服務(wù)����,那效力就僅限于一個(gè)部門,如果為更大的范圍服務(wù)�,就會(huì)取得更大的效力,如安全預(yù)警����。另外創(chuàng)造性的服務(wù)也可帶來(lái)經(jīng)濟(jì)上的效益,一個(gè)合理的安全建設(shè)方案可能會(huì)帶來(lái)實(shí)際的成
7����、本的節(jié)約,一個(gè)安全管理的認(rèn)可����,可能會(huì)帶來(lái)企業(yè)形象的提升,甚至一項(xiàng)安全增值業(yè)務(wù)可能會(huì)帶來(lái)直接的收益����。編輯本段對(duì)信息安全服務(wù)商的基本要求 信息安全的特點(diǎn)決定了對(duì)信息安全服務(wù)商有較高的要求,我們將之分為管理要求����、技術(shù)要求和高級(jí)要求����,其中管理原則和技術(shù)原則主要基于實(shí)踐應(yīng)急反應(yīng)層面�����,高級(jí)要求主要針對(duì)安全管理���、安全策略和發(fā)展層面�����。管理要求 *信息安全要求建立一個(gè)24小時(shí)不間斷反應(yīng)�����?�! ?能夠建立一個(gè)針對(duì)不同攻擊的正確行動(dòng)方案����。 *能夠保證及時(shí)�����、快速反應(yīng)系統(tǒng)�����?�! ?能夠提供規(guī)范和詳細(xì)的對(duì)自身和對(duì)客戶培訓(xùn)體系���。
8��、 *���、貼近被服務(wù)體系和對(duì)客戶零干擾目標(biāo)��。技術(shù)要求 *擁有一定的監(jiān)控技術(shù),能夠方便�、簡(jiǎn)單����、易操作地安裝到所有接入設(shè)備和系統(tǒng)中���?! ?監(jiān)控設(shè)備不會(huì)影響和干擾已有的安全設(shè)備和軟件的正常使用性能���,并且不會(huì)引入新的安全隱患��?! ?監(jiān)控設(shè)備應(yīng)當(dāng)具有升級(jí)能力�����,并且能夠進(jìn)行方便的升級(jí)����?����! ?具有監(jiān)控?cái)?shù)據(jù)分析與處理技術(shù)�?�! ?具有知識(shí)庫(kù)或?qū)<規(guī)熘С謶?yīng)急事件決策技術(shù)��。 *具有系統(tǒng)容災(zāi)與恢復(fù)的技術(shù)�。高級(jí)要求 *先進(jìn)原則:全面掌握和緊跟國(guó)際先進(jìn)的信息安全管理
