信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二〇二二年三月目录1. 公司简介....................................................................................................错误!未定义书签。

2. 信息安全保障体系咨询服务....................................................................错误!未定义书签。

. 概述................................................................................................错误!未定义书签。

. 参考标准........................................................................................错误!未定义书签。

. 信息安全保障体系建设的指导思想............................................错误!未定义书签。

. 信息安全保障体系建设的基本原则............................................错误!未定义书签。

3. 信息安全保障体系的内容........................................................................错误!未定义书签。

. 信息安全的四个领域....................................................................错误!未定义书签。

. 信息安全策略体系........................................................................错误!未定义书签。

信息安全战略....................................................................错误!未定义书签。

信息安全政策标准体系框架............................................错误!未定义书签。

. 信息安全管理体系........................................................................错误!未定义书签。

. 信息安全技术体系框架................................................................错误!未定义书签。

. 信息安全运营体系........................................................................错误!未定义书签。

4. 信息安全保障体系的建设过程................................................................错误!未定义书签。

. 信息安全保障体系的总体建设方法............................................错误!未定义书签。

. 信息安全策略的定义....................................................................错误!未定义书签。

信息安全策略的通用性特征............................................错误!未定义书签。

信息安全策略的建立过程................................................错误!未定义书签。

. 企业信息安全管理体系的建设....................................................错误!未定义书签。

安全管理体系总体框架....................................................错误!未定义书签。

信息安全环境和标准体系框架........................................错误!未定义书签。

信息安全意识培养............................................................错误!未定义书签。

信息安全组织....................................................................错误!未定义书签。

信息安全审计监督............................................................错误!未定义书签。

. 企业信息安全运营体系的建设....................................................错误!未定义书签。

. 企业信息安全技术体系的建设....................................................错误!未定义书签。

安全技术设计目标............................................................错误!未定义书签。

安全技术体系的建设........................................................错误!未定义书签。

5. 为什么选择安恒信息................................................................................错误!未定义书签。

. 特性................................................................................................错误!未定义书签。

. 优点................................................................................................错误!未定义书签。

. 效益................................................................................................错误!未定义书签。

1.公司简介杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析，核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。

安恒信息公司总部位于杭州高新区，在北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服务。

公司成立以来安恒人始终以建立民族自主品牌为己任，秉承“精品创新，恒久品质”的理念，力争打造中国信息安全产业应用安全与数据库安全第一品牌。

多年来，安恒信息以其精湛的技术，专业的服务得到了广大客户的青睐，同时赢得了高度的商业信誉。

其客户遍布全国，涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。

安恒信息目前拥有明鉴、明御两大系列自主研发产品，是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。

其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。

未来，安恒信息将继续秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新产品和服务，全面保障客户应用与数据库的安全，为打造世界顶级的产品而不懈努力。

作为2008北京奥组委安全产品和服务提供商，安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。

在2009年建国60周年全国网站安全大检查中，公安部和工信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。

2010年，“安恒信息”作为上海世博会安全产品和服务的提供商，为上海世博会信息安全保驾护航。

2010年，“安恒信息”作为广州亚运会安全产品和服务提供商，为亚运会信息安全保驾护航。

2.信息安全保障体系咨询服务2.1.概述在信息系统介入企业商务运营的初期，企业的商务运营环境相对封闭，对信息数据的交互要求也不高，信息系统可以得到企业的完全控制。

而如今的信息系统已经成为企业生产业务系统的一部分，企业商务运营中的大量重要信息交互必须依赖于开放的、互联的网络环境进行。

自从网络和Internet万维网出现以来，新兴技术和数据信息量激增，虚拟化和云计算增加基础架构复杂性，新兴技术的应用导致安全违规和安全攻击事件的大量增加，数据量每隔18个月翻一番，围绕着信息上下文的存储、安全和发现技术变得越来越重要。

信息安全问题越来越凸现出来使得企业规避信息安全风险的需求日趋紧迫。

众所周知，即便是在信息安全国际标准和相关最佳实践的指导下，企业按照标准的安全实践方法，设计和实施信息安全解决方案时，依然会遇到很多挑战。

企业还必须考虑多平台，多组件架构集成的复杂性，实施安全解决方案的多样性等。

信息安全保障体系建设是根据企业业务发展的需要，确立合理的信息安全需求、确立企业信息安全策略，选择安全功能组件，建立一个完整的由信息安全策略体系、信息安全组织体系、信息安全技术体系和信息安全运营体系组成的具备深度安全防御能力的信息安全保障体系。

信息安全保障体系建设咨询是杭州安恒信息技术有限公司（以下简称为安恒信息）参考国际国内的信息安全保障体系标准，结合安恒信息在信息安全保障体系建设咨询的最佳实践，为企业打造一个量身定制信息安全保障体系的一个咨询服务解决方案。

2.2.参考标准《计算机信息系统安全等级保护划分准则》GB 17859-1999《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008《信息安全技术信息系统等级保护安全设计技术要求》GB/TXXXXX-XXXX《信息保障技术框架》（IATF：Information Assurance TechnicalFramework）《信息技术安全技术信息技术安全性评估准则》GB/T 18336-2008《系统安全工程能力成熟度模型》（SSE-CMM：System SecurityEngineering Capacity Maturity Model）2.3.信息安全保障体系建设的指导思想将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求，使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。