易聆科公司为客户提供信息安全治理咨询、信息安全体系咨询、信息安全产品咨询三大系列咨询服务,为客户提供从管理、技术到治理的多层次、全方位的信息安全咨询服务。
讲究实效、重在落实;授人以鱼,亦授人以渔
管理与技术的有机融合
核心顾问均来自知名企业的实战专家
拥有丰富实践经验和咨询经验的顾问团队
拒绝形而上学,不断钻研国外标准的“洋为中用”
拒绝照搬照抄,用心咨询为每个客户量身定制咨询服务方案
使用行业领先的信息安全管理工具,令服务效果得到充分体现
以落实为核心的咨询方法论,能够有效保证咨询质量和效果
服务类别 | 服务项目 | 服务描述 |
---|---|---|
信息安全 治理咨询 |
信息安全 规划 | 以业界最佳实践(包括COBIT、ISO27001、ISO13335、ITIL、等级保护等)为指南,综合分析客户的业务战略和IT战略,确定客户的信息安全战略,明确客户的信息安全发展目标,以客户信息安全现状为基础,规划信息安全发展蓝图及制定实施计划。 |
IT/信息安全审计 | IT/信息安全审计根据客户的相关制度、监管要求或安全标准(例如ISO27001、信息系统安全等级保护、银监会信息科技风险审计要求等),对客户的IT/信息安全进行审计,包括管理方面和技术方面:管理方面包括制度、流程以及公司高层、中间管理层和普通员工在信息安全方面的职责和表现;技术方面包括应用系统、中间件、操作系统、网络、终端、机房等。根据审计结果,对照审计准则和行业最佳实践,给出审计报告和针对性的改进规划。 | |
IT/信息安全关键绩效 | IT/信息安全关键绩效评价以业界最佳实践(包括COBIT、ISO27001、ISO13335、ITIL等)或客户自己的IT/信息安全标准为依据,根据客户内部运作实情,构建IT/信息安全关键绩效评价体系,以IT平衡计分卡及基础,从组织线、业务线、系统线、人员线等多个维度设置评价指标和评价标准,达到客观反映客户各个维度的IT/信息安全表现,达到促进IT/信息安全水平持续提升的目的。 | |
IT/信息安全风险控制 | 从管理和技术两个方面为客户提供风险评估服务。在管理方面,采取定性的评估方法,结合定量的评估手段,评估客户信息安全在管理方面的风险;在技术方面,参照国内优秀实践案例,结合漏洞检查和分析技术,评估客IT/户信息安全在技术方面的风险。评估过程中以“OCTAVE+Delphi+ISO27001/ GB/T 20984-2007”方法论,以培训客户自己人才为重点,以客户业务骨干深度参与为保障,全面挖掘出客户真实的IT/信息安全风险,并设计适合客户实情的风险处置方案。 | |
IT治理 | 以COBIT/ISO 38500为标准,通过一套行之有效的方法,对客户的IT治理状况做出评估,立足客户的组织业务环境,基于业务战略,梳理并明确IT定位(支撑/创新)和IT战略,明确IT治理模式(集中/分散/混合),制定IT决策机制(业务与信息化部门在IT上的责权利划分、集团IT与分公司IT的责权利划分),建立配套的IT治理保障措施(制度、流程、工具、绩效、风险等)。 | |
信息安全 体系咨询 |
ISO27001 体系咨询 |
采用独创的AP2OC方法论,遵循ISO27001/ISO27002国际信息安全管理标准,以差距分析和安全评估为基础,以管理和技术为线索,以实施运作为核心;分阶段、多层次评估客户信息安全现状,全面系统地挖掘信息安全对业务运作的保障差距、明确信息安全水平提升需求;从组织体系、管理体系、技术体系和运作体系立体化地统筹规划和建设信息安全体系;确保技术和管理得到有效落实,达到保障业务顺利运作的目的;水到渠成地达到ISO27001认证要求并轻松通过认证。 |
ISO20000 体系咨询 |
采用PDCA方法作为IT服务管理(ITSM)建设项目的实施规范;根据PDCA模型,在需求挖掘、可操作性和实施过程上进行了针对性细化。通过差距分析,找出客户与业界领先组织以及ISO20000标准的差距,明确ITSM建设方面的重点;在差距分析的基础上,按照ITIL/ISO20000标准针对IT服务管理十三个模块进行流程整合与流程改进,并建立全面的IT服务管理体系。在IT服务管理体系建设过程中注重落实、审核和对体系的完善;逐步形成具有客户特色的IT服务管理体系和运作方法;增强IT运作的可预见性以满足业务需求并改善客户IT组织的整体绩效;水到渠成地达到ISO20000认证要求并轻松通过认证。 | |
ISO22301 体系咨询 |
业务连续性管理的标准ISO22301,比灾难恢复更高一层面的概念。在于及早确定可能发生的冲击对组织运作造成的威胁,并提供合理的架构有效阻止或抵消不确定事件造成的威胁,对保证组织日常业务运行的平稳有序起着重大的作用。易聆科咨询以ISO22301为标准,帮助客户进行业务影响分析及风险分析,并将其量化,继而开发制定各种应急及恢复计划、方法和流程,达到能应对灾难和减轻灾难影响的目标。 | |
信息系统等级 保护咨询 |
采用DAP2OC方法论,遵循国家等级保护标准要求(包括《定级指南》、《基本要求》、《实施指南》、《测评指南》及相关重要政策),按照系统定级、安全评估、管理体系规划、技术体系规划、实施运作等五个步骤对信息系统进行定级,构建和实施信息安全体系(包括管理体系和技术体系),最终达到等级保护要求,顺利通过等级测评 | |
多体系 整合咨询 |
组织越来越重视标准化管理,依据标准建立的管理体系越来越多,也为管理带来很多的不便,易聆科提供的多体系整合咨询不是简单的叠加,而是在各个体系要求的框架内,通过高效的接口处理,协助客户将ISO27001、ISO20000、CMMI、ISO22301、等级保护等标准体系的建立和运行进行有机结合,以提高体系运行效率,达到事半功倍的目的,从而消除由于多个管理体系所带来的多个审核机构、多套体系文件、多次审核和管理评审的不便,达到了简化工作程序、避免交叉重叠,精简程序文件、提高体系执行效果的目的。 | |
信息安全 产品咨询 |
防泄密咨询 | 组织越来越重视标准化管理,依据标准建立的管理体系越来越多,也为管理带来很多的不便,易聆科提供的多体系整合咨询不是简单的叠加,而是在各个体系要求的框架内,通过高效的接口处理,协助客户将ISO27001、ISO20000、CMMI、ISO22301、等级保护等标准体系的建立和运行进行有机结合,以提高体系运行效率,达到事半功倍的目的,从而消除由于多个管理体系所带来的多个审核机构、多套体系文件、多次审核和管理评审的不便,达到了简化工作程序、避免交叉重叠,精简程序文件、提高体系执行效果的目的。 |
虚拟化咨询 | 协助客户通过虚拟化将服务器资源进行有效整合,大大提高了客户业务应用的可用性以及客户IT维护的方便性;令组织的数据更为安全,软件的升级与维护更为便捷,可以有效的防止组织敏感的数据外泄。同时,IT部门获得了集中式管理和控制的所有好处,前所未有地确保组织资源安全,并显著地降低维护管理成本。 | |
IT服务管理咨询 | 以IT服务管理工具为基础,结合ISO20000和ITIL国际最佳实践经验,梳理客户现有的IT运维流程,有效利用与整合现有资源,建立一套系统化、规范化、标准化的IT服务管理体系,并固化到易聆科模块化、可视化、自动化的IT服务管理工具上,以保证IT服务管理体系的充分落地,顺利实现提高与改进客户IT服务管理水平与服务运营能力的目标。 | |
IT基础架构规划 | 信息技术的发展远超过了人们的预期,即使刚建设两三年的基础设施也不可避免地面临一些新的挑战,新的业务系统对基础设施提出新的要求,还有大量结构化数据的出现使得存储介质、存储结构都会发生很大的变化。因此,组织的这些基础设施期待重新进行规划,以适应新的发展。易聆科公司提供包括主机、存储、网络、数据库、中间件、安全产品、基础软件等综合基础架构规划服务。 |