易聆科 -“互联网+时代”网络安全管控专家

易聆科公司为客户提供信息安全治理咨询、信息安全体系咨询、信息安全产品咨询三大系列咨询服务，为客户提供从管理、技术到治理的多层次、全方位的信息安全咨询服务。

: 服务特色Service Features

讲究实效、重在落实；授人以鱼，亦授人以渔
管理与技术的有机融合
核心顾问均来自知名企业的实战专家
拥有丰富实践经验和咨询经验的顾问团队
拒绝形而上学，不断钻研国外标准的“洋为中用”
拒绝照搬照抄，用心咨询为每个客户量身定制咨询服务方案
使用行业领先的信息安全管理工具，令服务效果得到充分体现
以落实为核心的咨询方法论，能够有效保证咨询质量和效果

服务内容Service Content

服务类别	服务项目	服务描述
信息安全治理咨询	信息安全规划	以业界最佳实践（包括COBIT、ISO27001、ISO13335、ITIL、等级保护等）为指南，综合分析客户的业务战略和IT战略，确定客户的信息安全战略，明确客户的信息安全发展目标，以客户信息安全现状为基础，规划信息安全发展蓝图及制定实施计划。
	IT/信息安全审计	IT/信息安全审计根据客户的相关制度、监管要求或安全标准（例如ISO27001、信息系统安全等级保护、银监会信息科技风险审计要求等），对客户的IT/信息安全进行审计，包括管理方面和技术方面：管理方面包括制度、流程以及公司高层、中间管理层和普通员工在信息安全方面的职责和表现；技术方面包括应用系统、中间件、操作系统、网络、终端、机房等。根据审计结果，对照审计准则和行业最佳实践，给出审计报告和针对性的改进规划。
	IT/信息安全关键绩效	IT/信息安全关键绩效评价以业界最佳实践（包括COBIT、ISO27001、ISO13335、ITIL等）或客户自己的IT/信息安全标准为依据，根据客户内部运作实情，构建IT/信息安全关键绩效评价体系，以IT平衡计分卡及基础，从组织线、业务线、系统线、人员线等多个维度设置评价指标和评价标准，达到客观反映客户各个维度的IT/信息安全表现，达到促进IT/信息安全水平持续提升的目的。
	IT/信息安全风险控制	从管理和技术两个方面为客户提供风险评估服务。在管理方面，采取定性的评估方法，结合定量的评估手段，评估客户信息安全在管理方面的风险；在技术方面，参照国内优秀实践案例，结合漏洞检查和分析技术，评估客IT/户信息安全在技术方面的风险。评估过程中以“OCTAVE+Delphi+ISO27001/ GB/T 20984-2007”方法论，以培训客户自己人才为重点，以客户业务骨干深度参与为保障，全面挖掘出客户真实的IT/信息安全风险，并设计适合客户实情的风险处置方案。
	IT治理	以COBIT/ISO 38500为标准，通过一套行之有效的方法，对客户的IT治理状况做出评估，立足客户的组织业务环境，基于业务战略，梳理并明确IT定位（支撑/创新）和IT战略，明确IT治理模式（集中/分散/混合），制定IT决策机制（业务与信息化部门在IT上的责权利划分、集团IT与分公司IT的责权利划分），建立配套的IT治理保障措施（制度、流程、工具、绩效、风险等）。
信息安全体系咨询	ISO27001 体系咨询	采用独创的AP2OC方法论，遵循ISO27001/ISO27002国际信息安全管理标准，以差距分析和安全评估为基础，以管理和技术为线索，以实施运作为核心；分阶段、多层次评估客户信息安全现状，全面系统地挖掘信息安全对业务运作的保障差距、明确信息安全水平提升需求；从组织体系、管理体系、技术体系和运作体系立体化地统筹规划和建设信息安全体系；确保技术和管理得到有效落实，达到保障业务顺利运作的目的；水到渠成地达到ISO27001认证要求并轻松通过认证。
	ISO20000 体系咨询	采用PDCA方法作为IT服务管理（ITSM）建设项目的实施规范；根据PDCA模型，在需求挖掘、可操作性和实施过程上进行了针对性细化。通过差距分析，找出客户与业界领先组织以及ISO20000标准的差距，明确ITSM建设方面的重点；在差距分析的基础上，按照ITIL/ISO20000标准针对IT服务管理十三个模块进行流程整合与流程改进，并建立全面的IT服务管理体系。在IT服务管理体系建设过程中注重落实、审核和对体系的完善；逐步形成具有客户特色的IT服务管理体系和运作方法；增强IT运作的可预见性以满足业务需求并改善客户IT组织的整体绩效；水到渠成地达到ISO20000认证要求并轻松通过认证。
	ISO22301 体系咨询	业务连续性管理的标准ISO22301，比灾难恢复更高一层面的概念。在于及早确定可能发生的冲击对组织运作造成的威胁，并提供合理的架构有效阻止或抵消不确定事件造成的威胁，对保证组织日常业务运行的平稳有序起着重大的作用。易聆科咨询以ISO22301为标准，帮助客户进行业务影响分析及风险分析，并将其量化，继而开发制定各种应急及恢复计划、方法和流程，达到能应对灾难和减轻灾难影响的目标。
	信息系统等级保护咨询	采用DAP2OC方法论，遵循国家等级保护标准要求（包括《定级指南》、《基本要求》、《实施指南》、《测评指南》及相关重要政策），按照系统定级、安全评估、管理体系规划、技术体系规划、实施运作等五个步骤对信息系统进行定级，构建和实施信息安全体系（包括管理体系和技术体系），最终达到等级保护要求，顺利通过等级测评
	多体系整合咨询	组织越来越重视标准化管理，依据标准建立的管理体系越来越多，也为管理带来很多的不便，易聆科提供的多体系整合咨询不是简单的叠加，而是在各个体系要求的框架内，通过高效的接口处理，协助客户将ISO27001、ISO20000、CMMI、ISO22301、等级保护等标准体系的建立和运行进行有机结合，以提高体系运行效率，达到事半功倍的目的，从而消除由于多个管理体系所带来的多个审核机构、多套体系文件、多次审核和管理评审的不便，达到了简化工作程序、避免交叉重叠，精简程序文件、提高体系执行效果的目的。
信息安全产品咨询	防泄密咨询	组织越来越重视标准化管理，依据标准建立的管理体系越来越多，也为管理带来很多的不便，易聆科提供的多体系整合咨询不是简单的叠加，而是在各个体系要求的框架内，通过高效的接口处理，协助客户将ISO27001、ISO20000、CMMI、ISO22301、等级保护等标准体系的建立和运行进行有机结合，以提高体系运行效率，达到事半功倍的目的，从而消除由于多个管理体系所带来的多个审核机构、多套体系文件、多次审核和管理评审的不便，达到了简化工作程序、避免交叉重叠，精简程序文件、提高体系执行效果的目的。
	虚拟化咨询	协助客户通过虚拟化将服务器资源进行有效整合，大大提高了客户业务应用的可用性以及客户IT维护的方便性；令组织的数据更为安全，软件的升级与维护更为便捷，可以有效的防止组织敏感的数据外泄。同时，IT部门获得了集中式管理和控制的所有好处，前所未有地确保组织资源安全，并显著地降低维护管理成本。
	IT服务管理咨询	以IT服务管理工具为基础，结合ISO20000和ITIL国际最佳实践经验，梳理客户现有的IT运维流程，有效利用与整合现有资源，建立一套系统化、规范化、标准化的IT服务管理体系，并固化到易聆科模块化、可视化、自动化的IT服务管理工具上，以保证IT服务管理体系的充分落地，顺利实现提高与改进客户IT服务管理水平与服务运营能力的目标。
	IT基础架构规划	信息技术的发展远超过了人们的预期，即使刚建设两三年的基础设施也不可避免地面临一些新的挑战，新的业务系统对基础设施提出新的要求，还有大量结构化数据的出现使得存储介质、存储结构都会发生很大的变化。因此，组织的这些基础设施期待重新进行规划，以适应新的发展。易聆科公司提供包括主机、存储、网络、数据库、中间件、安全产品、基础软件等综合基础架构规划服务。

4009-309-209