服务简介

近年来，企业不断提高其信息化水平以支撑业务的高速发展，提升企业工作效率并优化业务运作模式，向公众提供高质量的服务。但是，企业在利用信息技术带来的优势时也必然需要承受先进技术带来的风险——信息安全问题。 企业本身存在的信息安全问题、外部严峻的安全形势以及各种监管的压力都要求企业尽快建设信息安全体系。

面临的挑战

大部分企业对信息安全比较陌生，缺乏主动有效的信息安全保障机制。下面从组织、策略和技术3个层面分析信息安全存在的普遍问题。

1、组织层面：企业的信息安全组织力量薄弱且定位较低，企业没有形成自上而下的信息安全组织体系。

2、策略层面：企业基本没有成体系的信息安全策略。

3、技术层面：企业或许已经部署基本的信息安全防护设施，如防火墙、入侵检测、流量监测等设施，但是信息安全系统“孤岛”效应严重，无法形

成有效合力，系统和网络的边界控制能力薄弱，不同的系统和网络间的资源访问控制颗粒度较粗，缺乏有效的监控和审计能力等问题。

方案介绍

合规融合评估的实施思路，将采用“七步骤”的实施思路，包括信息调研、标准融合、合规测评、风险评估、整改咨询等步骤。通过“等级保护”、“ISO27001体系”和行业监管要求的融合实施，实现统一整改建设，“一箭三雕”的效果。

标准融合 差距分析 风险评估 风险处置 体系建设 体系运行 体系认证 项目目标

通过融合ISO27001信息安全管理体系规范、信息安全等级保护标准和信息安全联合检查标准等，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。

方案价值

通过融合多种安全标准规范，从不同角度、层面和领域开展等级保护测评，能够获得信息系统整体的安全风险控制水平。

实现一次实施多项安全成果，可同时满足来自行业、上级和外部的不同方面、不同内容、不同目的的安全监管要求。

融合测评实施为组织获得多项安全合规的认可和较高业务安的信誉度，有助于促进组织业务的发展。

融合测评的实施避免了组织多次对不同安全、合规标准的重复评估，减少投入的成本。