论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 14 篇帖子 ] 
作者 内容
 文章标题 : 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-02-21 09:14 
离线
新手

注册: 2009-04-08 16:48
最近: 2011-10-09 09:18
拥有: 264.00 安全币

奖励: 4 安全币
在线: 159 点
帖子: 3
最近公司准备实施一个信息安全咨询规划项目,目前正在找服务商。

请问坛子里面有没有实施过类似项目的?大致的做法是怎么样?在选择服务商时,主要需要考虑的因素有哪些?国内、外的哪些安全服务商可以做类似咨询类的项目(国内有些安全产品厂家也说可以做安全咨询方面的服务,但是主要还是偏技术方面的,在管理方面应该还是有些欠缺的,特别是规划方面)。

请大家指导,谢谢。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 09:40 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
首先想明确一点:
1、公司是什么行业?
2、公司的主要信息资产是什么?
3、项目涵盖的范围是什么?
4、希望依据什么标准或规范来进行规划?


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 10:25 
离线
新手

注册: 2009-04-08 16:48
最近: 2011-10-09 09:18
拥有: 264.00 安全币

奖励: 4 安全币
在线: 159 点
帖子: 3
我们是一家国内的保险集团公司,包括有财险、寿险、养老、资产等子公司。
主要的信息资产主要包括上海、深圳的两个数据中心;
项目涵盖的范围主要包括现状调研、风险评估、体系设计与规划以及一定范围的试运行,此外,还需要对现状调研中发现的主要的、重大的问题实施加固。
希望按照ISO27001的标准+等保来规划。
不知道在选择服务商方面大家有什么心得,我的想法还是找国外的咨询公司来做,但是领导要求我们了解下国内的安全服务商,看是否能做相关的工作。
盼复。


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 11:17 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,699.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
先了解一下国内某些公司的做法吧。
http://bbs.cisps.org/viewtopic.php?t=22573&highlight=
请问坛子里面有没有实施过类似项目的?
肯定有
大致的做法是怎么样?

信息安全咨询项目的类别也很多,再加上大家对信息安全的理解还不透彻,有些时候把IT安全(就像您说的偏技术)也说成是信息安全。所以在这点上还是请您确认是做信息安全咨询还是IT安全咨询,有些差别。而这些咨询基本上都是基于某些标准或最佳实践,针对风险评估的结果作文章。大致程序:
调研--〉分析--〉改进建议--〉选定标准--〉整体规划--〉培训--〉发布--〉监控--〉改进
该过程根据项目内容不同会有差别。个人建议采用Cobit那种将业务目标、信息安全目标、流程和活动关联起来的方法比较不错,并结合ISO2700x的体系,而且有KGI、KPI监控信息安全状况。
等保可以作为整体规划的第一步,因为首先要确定的就是企业有哪些信息需要保护,业务分析可以作为等保的第一项活动。


在选择服务商时,主要需要考虑的因素有哪些?
好多体系和标准大家都在学习摸索阶段,像四大他们做风险管理有自己的方法,但是没有明确的基于什么标准/最佳实践。IBM/HP他们偏重于产品/技术。国内的安全厂商也是偏重于产品/技术(漏扫、补丁管理、行为审计等),国内的咨询服务商大的有自己的方法、顾问、模板,小的就像上面链接提到的那样。
我觉得1、看你们的偏好 2、看资质,比如ISO27xxx的认证、安全服务资质等 3、看经验,主要是行业经验 4、看顾问,经验丰富的顾问会分享很不错的经验 5、看顾问流动性,流动性大的公司缺乏咨询质量的稳定性、一致性 6、看企业的规模,有些公司用3~5个人说成几十个很常见。
7、项目外包情况,很多企业是把项目外包,而不是自己做,经验是不是自己的不好说,质量也不好保障
8、验证上述信息(最关键,因为很容易作假),如拜访其客户、看劳动合同、参观其公司、看项目合同、看工资发放情况等等

国内、外的哪些安全服务商可以做类似咨询类的项目(国内有些安全产品厂家也说可以做安全咨询方面的服务,但是主要还是偏技术方面的,在管理方面应该还是有些欠缺的,特别是规划方面)。

很多时候咨询结果不被客户/领导认可,而且咨询结果也需要技术支持才能发挥更大的效果,找技术厂商做咨询也并不全是坏事,可以找一个咨询一个技术,但是防止他们“串通”。

以上建议,仅供参考!


--------本帖迄今已累计获得91安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 16:20 
离线
顶级用户

注册: 2008-05-06 11:14
最近: 2015-11-20 11:00
拥有: 12,338.50 安全币

奖励: 13814 安全币
在线: 4241 点
帖子: 1018
lylyong 写道:
我们是一家国内的保险集团公司,包括有财险、寿险、养老、资产等子公司。
主要的信息资产主要包括上海、深圳的两个数据中心;
项目涵盖的范围主要包括现状调研、风险评估、体系设计与规划以及一定范围的试运行,此外,还需要对现状调研中发现的主要的、重大的问题实施加固。
希望按照ISO27001的标准+等保来规划。
不知道在选择服务商方面大家有什么心得,我的想法还是找国外的咨询公司来做,但是领导要求我们了解下国内的安全服务商,看是否能做相关的工作。
盼复。

等保这个东西国内公司比国外的服务商理解的更深入一些。。
:roll:


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 16:27 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,699.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
国外没有等保吧。呵呵
不过我觉得等保现在做的都是把信息系统、IT做分类分级,还没有真正的上升到信息层面,从业务、收益等开始分析。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-21 22:55 
离线
高级用户

注册: 2007-01-04 10:15
最近: 2016-04-12 10:48
拥有: 2,549.60 安全币

奖励: 277 安全币
在线: 1335 点
帖子: 148
地址: 上海
1)保监会的指引出来以后,多家保险公司都在开始考虑信息安全体系建设的事情了. 金融领域内,我个人看法是目前证券领域还没发现信息安全体系作的好的(不好意思,我是说信息安全体系能够落地,信息安全真正开始发挥作用了,尽管不是100%,起码不是那么务虚). 楼主可以多找找看看银行领域的案例.
2)中国的等级保护整体上还在摸索前行中, 建议不要在规划里把自己的目标定位成XX范围内国内第一家通过等级保护的保险公司.个中原由在坛子里多看看关于等级保护的讨论贴就明白了. 国内的股份商业银行业目前IT做的也算看的过去了吧,你听说谁去抢着去过等保呢. 个人建议:把等保的精神领悟了,在技术建设方面多吸取其精华, 把信息安全做到好用够用就行了.


--------本帖迄今已累计获得70安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-03-15 15:26 
离线
初级用户

注册: 2009-05-24 19:13
最近: 2013-10-16 17:33
拥有: 134.00 安全币

奖励: 0 安全币
在线: 236 点
帖子: 56
学习一下,收益不少


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-03-15 17:33 
离线
超级用户

注册: 2004-06-14 11:28
最近: 2012-08-01 14:04
拥有: 1,885.00 安全币

奖励: 259 安全币
在线: 3065 点
帖子: 381
楼主有兴趣的话单独聊一下。:)


回到顶部
  用户资料  
 
 文章标题 : Re: 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-06-09 22:41 
离线
新手

注册: 2006-09-18 11:36
最近: 2014-07-30 09:35
拥有: 26.10 安全币

奖励: 0 安全币
在线: 999 点
帖子: 16
平安科技的?难得见到老东家的兄弟 :roll:
平安IT的喜欢找洋买办的公司做咨询类的项目吧/


回到顶部
  用户资料  
 
 文章标题 : Re: 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-06-10 08:13 
离线
超级用户

关注按钮

注册: 2007-09-14 11:58
最近: 2018-01-23 17:50
拥有: 7,576.10 安全币

奖励: 3533 安全币
在线: 3791 点
帖子: 583
地址: 大连市高新区
不要太崇拜国外,或四大。他们已经被中国化了,因为不这样做不行。
我说这些话是有实际的体会。
主要是能满足实际需求就可以了,有钱可以用在后续处理风险上面。
愤青一下:目前就这个环境,不管需求如何,为了名声也得找四大或外企。
如果楼主有决定权的话,还是把他交给国内的做吧。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-12-15 16:24 
离线
新手

注册: 2010-09-01 14:45
最近: 2011-03-18 11:54
拥有: 4.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 5
北京谷安天下科技有限公司 www.gooann.com 尹建国 13683623867
1.是最早从事信息安全IT风险管理的咨询团队;为企业提供ISO27001,ISO20000的认证咨询,IT审计,治理,IT内控,风险评估,等级保护咨询服务.
2.是最大的培训机构: 提供CISA,CISP,CISSP,COBIT,ITIL,ISO27001,ISO20000主任审核员等培训,以及根据企业需求定制化内训.
3.为企业提供国内领先的IT风险管理系统: 策略管理,合格管理,风险评估,审计管理,流程管理,意识管理及等级保护管理平台等.
4.提供专业的安全服务:信息安全运维服务,it流程风险评估,应用评估,安全加固,渗透测试,产品解决方案咨询等


回到顶部
  用户资料  
 
 文章标题 : Re: 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-12-15 16:38 
离线
超级用户

注册: 2009-03-09 22:30
最近: 2016-04-27 13:16
拥有: 7,504.00 安全币

奖励: 34250 安全币
在线: 2000 点
帖子: 313
等保这个事国外咨询公司貌似不能做吧


回到顶部
  用户资料  
 
 文章标题 : Re: 请教信息安全咨询规划项目服务商选择
帖子发表于 : 2010-12-22 14:09 
离线
新手

注册: 2009-08-26 14:58
最近: 2011-03-07 13:12
拥有: 0.00 安全币

奖励: 0 安全币
在线: 30 点
帖子: 8
如果没有预算要求。建议制度建设找国外公司,技术实施找国内厂商。


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 14 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012