梵禅信息

咨询业务及方法论梵禅信息致力于以专业的IT咨询为客户创造价值，并以信息安全及IT风险管理为核心，建立全过程服务模式即TCSP业务体系，为企业客户提供四方面六大类的咨询服务，帮助企业客户在IT治理、信息科技风险管理、IT内控、信息安全、安全技术解决方案等方面合理规划、循序渐进、有效实施，最终达成与其业务目标一致的IT发展战略。梵禅信息提供的咨询服务项目主要包括：?信息安全及IT风险治理发展规划?信息安全管理体系（ISMS）建设及ISO27001认证咨询?IT服务管理体系（ITSMS）建设及ISO20000认证咨询?信息系统等级保护建设咨询?信息安全管理体系优化落地咨询?IT风险控制框架设计与建设咨询?IT风险控制有效测量及绩效评价咨询?信息安全制度梳理及场所化建设咨询?信息安全意识提升咨询?信息安全合规管理咨询?银行业信息科技风险管理体系（ITRMS）解决方案?数据安全解决方案?应用及...

息安全专业技术服务信息安全专业技术服务在梵禅信息多年的信息安全项目实践经验依托下，在国内外先进的安全理论指导下，紧密结合我国的国情，梵禅信息精干的技术服务团队从方法论，技术手段，过程控制和服务支持等多方面来保障信息系统的安全性。它主要由安全解决方案，服务与产品及安全技术支持构成，是一套安全的信息安全服务体系，以深入用户业务、贴近用户需求为导向，以丰富的安全服务经验为基础，给客户提供高品质的安全技术服务。服务内容：1、渗透测试模拟黑客可能使用的攻击技术和漏洞发现技术，对客户指定目标系统的安全作深入检测，从应用攻击入手，围绕业务系统进行逐步渗透攻击，获取网络、应用、数据库的重要资源，寻找系统的薄弱点，以此帮助客户了解自身网络和应用系统的弱点，并验证评估结果，最终提出更精确、更有效的解决建议。渗透测试服务范围包含：操作系统、数据库系统、应用系统、防火墙等。2、安全扫描根据当前安全漏洞知识库...

信息安全专项培训梵禅信息是最早国内最早从事信息安全培训的专业机构之一，基于创建的ATM-CC培训体系，为各类企业和组织提供包括意识、技术、管理、认证等方面多达30余类的培训课程。与此同时，梵禅信息依托自身全面的课程研发能力和讲师团队，更可为企业提供全方面多层次的定制化的培训服务。梵禅信息提供的主要培训课程包括：?CISSP/CISP/CISA专业人士认证考试培训?ISO27001/ISO20000主任审核员/内审员/体系实施系列培训?信息安全管理基础培训?信息安全意识培训/案例学习?黑客攻防/信息安全技术培训?行业领域定制培训（金融/电信/能源等）除了提供公开培训课程外，梵禅信息更强调为企业客户提供定制化的培训，以我们的经验，企业客户在信息安全培训方面，即便有所行动，也存在诸多不足：缺乏有针对性的培训需求调研和分析，缺乏持续性的培训计划，缺乏不同层次差异性的培训内容，缺乏对培训效果的...

信息安全意识提升咨询企业重视信息安全并实施管控，其成败取决于员工意识。人员安全意识欠缺，导致政令不通，监督不力，执行不畅，往往导致信息外泄、系统故障等安全事故。只有人员具备足够的安全意识，以至于形成安全文化，企业信息安全才能真正长治久安。不过，员工信息安全意识的提升并非一日之功，也不是通过简单的一两次培训就能奏效的，而必须是一项持续的、长期的、有计划的，并且是多种方式并用的综合性的工作。梵禅信息为企业提供信息安全意识提升解决方案及相关服务，从企业各层次多方面实际需求出发，进行总体规划，设计内容和形式，通过现场培训、在线学习、立体宣传、媒体推广、互动演练等方式，结合持续的评价改进和必要的支撑工具，确保企业能够建立长期有效的信息安全意识提升机制，促使员工信息安全意识向良好的工作习惯转化，最终融入企业的安全文化。信息安全意识提升面向企业广泛的受众，其内容涵盖信息安全相关各个领域，重点针对员工日...

信息安全管理体系优化落地咨询近些年，国内企业以金融、电力、通讯、软件等行业为代表，在信息安全方面投入显著且发展很快，特别是参照ISO27001这样的国际权威标准，建立符合现代企业治理需要的信息安全管理体系，已经成为高度依赖IT且重视信息安全的企业一项必然的选择。一般来说，建立信息安全管理体系并通过ISO27001认证，企业或者是基于法律合规的要求，或者是迫于外部客户的压力，而更多的，则是出于自身业务发展的需要。无论出发点是什么，从结果来看，一个信息安全管理体系建设的项目和持续改进过程，不仅仅只是获得一张证书，更重要的，是在包括策略制度、组织建设、风险管理、人员意识和支持保障等方面形成层次化整体性的信息安全管理框架。在此基础上，企业不再发愁信息安全无从下手，不再质疑管理和技术孰轻孰重，也不再担心制度不清责任不明，至少在风险管控的基本面上，企业解决了“有没有”的问题，初步形成信息安全规范化管...

信息安全及IT风险管理发展规划现代企业业务发展高度依赖信息系统，而与信息系统相关的威胁和风险无处不在，信息安全问题比较突出。为了有效防范和化解风险，保证企业信息系统平稳运行和业务持续开展，企业通常都会在信息安全方面做专项投入。不过，一般情况来说，单纯只是采购并部署技术产品，或在管理方面实施规范控制，若只是就事论事或项目驱动，很难形成持续效应并解决根本问题。事实上，要想确保信息安全及IT风险管控能够自始至终适应企业业务发展的需要，企业必须考虑在整体的信息化建设中做全面的信息安全发展规划。全面有效的信息安全规划可以帮助企业充分认识这些问题：?了解企业现有的信息安全水平；?确定信息安全技术投资优先顺序及其价值；?评估现有IT系统安全性能；?新系统与现存系统的关系是什么；?什么样的信息安全架构能够满足未来业务增长的需要；?信息安全风险对信息系统建设模式的影响；?企业信息安全的基本指标的设计是企业...

数据安全咨询服务一、目的在计算机时代到来之前，人们会将重要的文件资料锁到文件柜或保险柜中进行保存。现代企业则通过计算机网络实现信息的数据化管理,各种重要的信息(如商业秘密、技术专利等)存放在没有安全防范措施的计算机中，这就象用不上锁的文件柜来存放机密文件。由于计算机的开放性和标准化等结构特点，使计算机信息具有高度共享和易于扩散的特性，导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏，或者受到计算机病毒感染和网络黑客的攻击，给企业带来极大的风险。同时由于企业中的员工及人员开始掌握大量的企业信息，伴随着商业间谍，社会工程攻击等的出现，人的因素越来越多的成为企业信息保护的决定环节。传统的数据安全解决方案提供商，往往认为，通过防火墙、加密机等软硬件产品的部署就可以解决所有数据安全保护的问题，但实际情况证实这只不过解决了一小部分片面的问题，仍旧有很多企业深受其害。中国国家...

ISO27001标准体系建设与认证咨询ISO27001是国际权威的信息安全标准，其为各类组织建立并运行信息安全管理体系（ISMS）提供了实践的指引。ISO27000是一个标准族，主要有两个部分，部分是ISO/IEC27001:2005（即国标GB/T22080），作为认证审核标准，其详细说明了建立、实施和维护ISMS的要求，可用来指导相关人员应用信息安全实践以建立适合企业需要的ISMS。第二部分是ISO/IEC27002:2007（即GB/T22081），作为信息安全管理实施细则即实践，其将信息安全分为11个控制领域，定义了39项控制目标和133项安全控制。ISO27001之所以被广泛用于企业信息安全管理体系建设，在于其几个突出的特点：1）整体性，即采用体系化思想进行信息安全建设，确保不会就事论事；2）全面性，十一个领域实践，确保不会发生短板；3）层次性，从方针策略到...

SO22301业务连续性管理咨询随着企业信息化的发展和企业数据大集中的实施，企业IT系统和业务的连续性受到越来越多的关注，尤其是对于银行、保险、证券、电力、能源、交通等领域关系国计民生的关键信息系统，如果没有进行灾难备份或业务连续性管理（BCM）体系建设，在遭受突发灾难时后果不堪设想。国际标准化组织于2012年5月15日发布了业务连续性管理(BusinessContinuityManagement，简称：BCM)国际标准—ISO22301。作为它的前身，国际公认的由BSI发布的BCM英国标准BS25999将于2012年9月正式被ISO22301取代。ISO22301管理体系框架能够帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。与BS25559...