数据安全咨询服务一、目的在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存。现代企业则通过计算机网络实现信息的数据化管理,各种重要的信息(如商业秘密、技术专利等)存放在没有安全防范措施的计算机中，这就象用不上锁的文件柜来存放机密文件。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散的特性，导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒感染和网络黑客的攻击，给企业带来极大的风险。同时由于企业中的员工及人员开始掌握大量的企业信息，伴随着商业间谍，社会工程攻击等的出现，人的因素越来越多的成为企业信息保护的决定环节。传统的数据安全解决方案提供商，往往认为，通过防火墙、加密机等软硬件产品的部署就可以解决所有数据安全保护的问题，但实际情况证实这只不过解决了一小部分片面的问题，仍旧有很多企业深受其害。中国国家...

ISO27001标准体系建设与认证咨询ISO27001是国际权威的信息安全标准，其为各类组织建立并运行信息安全管理体系（ISMS）提供了实践的指引。ISO27000是一个标准族，主要有两个部分，部分是ISO/IEC27001:2005（即国标GB/T22080），作为认证审核标准，其详细说明了建立、实施和维护ISMS的要求，可用来指导相关人员应用信息安全实践以建立适合企业需要的ISMS。第二部分是ISO/IEC27002:2007（即GB/T22081），作为信息安全管理实施细则即实践，其将信息安全分为11个控制领域，定义了39项控制目标和133项安全控制。ISO27001之所以被广泛用于企业信息安全管理体系建设，在于其几个突出的特点：1）整体性，即采用体系化思想进行信息安全建设，确保不会就事论事；2）全面性，十一个领域实践，确保不会发生短板；3）层次性，从方针策略到...

SO22301业务连续性管理咨询随着企业信息化的发展和企业数据大集中的实施，企业IT系统和业务的连续性受到越来越多的关注，尤其是对于银行、保险、证券、电力、能源、交通等领域关系国计民生的关键信息系统，如果没有进行灾难备份或业务连续性管理（BCM）体系建设，在遭受突发灾难时后果不堪设想。国际标准化组织于2012年5月15日发布了业务连续性管理(BusinessContinuityManagement，简称：BCM)国际标准—ISO22301。作为它的前身，国际公认的由BSI发布的BCM英国标准BS25999将于2012年9月正式被ISO22301取代。ISO22301管理体系框架能够帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。与BS25559...

ISO20000标准体系建设及认证咨询传统企业的IT管理模式，IT部门是作为技术支持的角色被动地存在的，随着IT服务的专业化和外包化发展，企业急需建立新的IT服务管理模式，以往被认为是成本中心的IT部门必须转变成积极的增值服务提供者，IT部门作为一个主动的服务提供者向其客户和用户（企业的业务部门）提供赖以支撑组织业务运作的IT服务。这是一种挑战，更是一种机遇，而推动机遇成为现实的，无疑是国际标准ISO20000。ISO20000是当前国际上最权威的针对信息技术服务管理（ITServiceManagement）的国际标准，该标准规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。ISO20000认证适合各类IT服务的提供者，可以是企业内部的IT部门，也可以是外部的服务提...

作为信息技术应用最广泛、最复杂的行业之一，证券行业的信息化建设与业务联动非常紧密，说信息化是当今证券行业的“命脉”一点也不为过。因此，对于证券行业来说，如何做好IT规划，保障IT系统安全有序的运行，是证券行业IT管理层面前一道难题。另一方面，为了保障证券期货信息安全管理体系建设的合规性、全面性和实用性，我们依据《证券法》、《证券投资基金法》、《期货交易管理条例》、《证券行业期货信息安全保障管理办法》及信息安全保障相关的法律、行政法规进行全面映射。梵禅信息结合多年的行业信息科技风险管理经验，提出了证券行业“五层一体系”的规划思路。既是把信息系统抽象成纯技术视角来看，从“基础环境、网络、操作系统、数据库、应用系统五个层面，加上一个贯穿五个层面的信息安全管理体系”形成“五层一体系“模型。按照“五层一体系”模型抽象出来之后，将包括数据库在内的以下四层实现全面标准化，包括标准化设计、标准化建设、标准

银行企业高度依赖信息科技，信息科技重在安全，而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分，树立并强化全面的信息科技风险意识，着力加强和完善相关规划、建设和管理工作，继而建立全面的信息安全和信息科技风险管理体系，是银行企业面临的一项紧迫课题。就信息科技风险管理整体性工作而言，银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”，但如何理解科技风险，如何解读合规要求，如何与商业银行IT内控对接，如何确保落地，往往给相关管理者带来诸多困惑。梵禅信息从事信息安全专业咨询，重点关注金融银行业，先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务，对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解，并为此专门提出一套解决方案。我们认为，银监会《商业银行信息科技风险管理指引》与国际权威的COSO-ERM企业全...

在电信运营市场竞争日趋激烈，通信技术不断更新发展，客户及市场日渐成熟的新形式下，移动通信行业充分认识到需要加强企业信息化安全，狠抓企业内部的信息化安全建设，使它成为推动企业低成本、高效运营的重要基础，坚持集中化、标准化、集成化的原则，实现“以业务为导向、以客户为中心、以安全为保障”的服务模式。在信息安全管理建设过程中，通信行业也面临着一些普遍的问题如：安全工作开展普遍着重于运维阶段，运维阶段的安全管理、安全运作、安全技术上都能得到较完善的支撑；但系统上线前缺乏有效的安全规划和管理，不仅使系统存在大量的缺陷与漏洞，还加大了后期运维工作的压力。针对这一问题，梵禅通过加强系统开发生命周期的管理，在系统生命周期各个阶段都针对性的制定和开展安全管理和安全技术工作，建立完善系统运维前的安全保障过程，使安全工作前移，从而有效的缓解了运维的压力。通信行业信息安全管理是一个长期的建设和改进过程，在这些过程...

十二五”期间，随着坚强智能电网以及“三集五大”体系深入推进，SG-ERP工程的全面建设对电网企业信息化安全运维运行工作都提出了更高要求。同时适应电网企业发展新形势新要求，做好信息通信融合安全发展，全面保障智能电网以及“三集五大”建设，确保信息化管理组织及信息系统安全稳定运行，电网企业从技术环境改造与优化、制度建设与梳理以及责任制落实几个方面，已经初步形成了管理制度加技术手段配套的信息安全运维保障体系。但是，随着信息技术飞速发展，应用环境日益复杂，以及企业应用需求的日益增加，国家、企业对信息安全的要求不断提高，信息化发展过程中也暴露出许多问题和不足，主要体现在：随着信息化大集中的建设，信息安全基础设施需要进一步进行系统化的优化整合；目前信息安全运行维护监管水平和能力不足，需要建设高自动化水平的集中监管平台；电网企业普遍缺乏体系化的安全管理策略及流程管理体系，无法有效指导信息化建设、运维与监管

保险企业是以保险业务为核心的,融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的紧密、高效、多元的综合金融保险服务集团。信息科技风险管理工作应该得到保险企业管理层的高度重视和参与，根据不同应用系统的安全等级制定实用的安全防护策略，以保证保险企业业务流程的高效畅通和高度安全。就保险企业信息科技风险管理工作而言，大多数保险企业遵循公安部发布的《信息安全等级保护管理办法》以及保监会发布的《保险公司信息系统安全管理指引(试行)》，已经初步建立了技术结合管理的一系列措施，包括对主要业务信息系统进行定级和备案，并按照相关标准执行针对性的控制措施。但随着保险企业信息化大集中，IT技术以及企业业务的不断发展，以及监管机构不断提出新的要求，保险企业也需要修炼内功，持续提升自身的信息科技风险管理水平。梵禅信息多年来与多家国内外知名保险公司保持着长期合作关系，也时刻关注着保险行业信息科技风险管理的发...