项目概况:
随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。在传统的信息安全建设模式中,工作侧重点更多的放在购置及集成相关的安全设备方面,但由于用户方缺少专业的安全技术人员,很多安全设备并没有被准确配置,继而无法发挥出其应用的效用,导致安全投入逐年增加,但安全防护能力依然停留在较低水平的现状。针对信息安全建设,国家陆续颁布了一系列政策法规及技术标准,确定了信息安全等级保护政策为我国信息安全建设的基本制度,在该制度中,也明确提出了加强安全管理,促进安全运维体系建设,建议采用第三方的专业安全服务提升自身信息系统的安全防护水平。
建设内容:
通过该项目的建设,形成覆盖用户信息系统全生命周期的信息安全服务支撑能力,包括专业安全服务人员的培养、安全服务流程的创建以及测试环境的搭建等几个方面,保障用户业务信息系统正常运行,辅助用户构建信息安全保障体系,为用户的基础网络及各业务系统提供安全设计咨询、应用系统开发安全管控、系统上线前安全检测以及渗透测试、风险评估、应用安全检测、安全加固、对安全事件的应急响应等服务。通过为用户提供定期的、全面的、覆盖信息系统全生命周期的安全服务,可以从整体上协助用户了解信息系统安全现状,发现系统存在的安全隐患,确定下一步的安全工作的重点,为信息安全监管及制定相应决策提供依据;同时,提高安全运维人员的技术能力和知识水平,要进行常态化的安全培训和应急演练,并融入到日常的安全管理工作当中,向用户提供完善的安全服务体系,从制度、流程、技术规范、人员配置等方面整体提升用户信息系统的安全保障能力。
运营模式:
通过本次项目建设的全生命周期安全服务能力,主要以培养专业的安全服务人员为核心,通过建立标准的服务流程、服务内容,以专业知识转移的模式,为客户提供相应服务。因此该项目建设后的成果是形成一支具有较强信息安全服务能力的咨询服务团队,跟客户以具体咨询服务项目的形式进行工作开展,销售模式以签订咨询服务项目为主,辅以人员培训业务等相应模式等。
建设目标:
通过本次项目的建设,将培养一支具有丰富信息安全服务经验,充分掌握信息安全等级保护、风险评估、ISO27001、渗透测试、安全加固、应急响应等领域的核心技术,建立标准的服务流程,并构建满足日常工作测试使用的信息安全试验环境,以信息系统全生命周期理念为依据,向用户提供专业的信息安全服务,通过案例的积累和项目的沉淀,获得相应的信息安全服务资质,打造我国信息安全服务第一品牌。
本项目在建设完成后,将组建一支具有丰富专业知识的服务团队,将按照标准服务流程,面向社会各级政府及企事业单位提供覆盖信息系统全生命周期的信息安全服务,协助以上单位全面诊断自身信息安全现状,发现安全隐患,从信息系统规划设计阶段开始重视信息安全建设,全面提升其信息系统的信息安全防护水平,保障各单位为社会提供信息服务的能力,有力的促进我国整体信息安全保障体系的建设进程。