一、网络安全等级保护测评
按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的要求,围绕网络安全等级保护2.0测评工作,提供信息系统安全建设咨询、定级备案咨询、等级保护整改咨询、网络安全培训,为信息系统用户提供全方位、全生命周期的等级保护服务,为公安机关等安全监管部门提供监督、检查的重要依据。
二、云计算服务安全评估
评估依据
GB/T 31167-2014《云计算服务安全指南》
GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》
三、渗透测试
依据OWASP十大Web漏洞(Open Web Application Security Project),以及设备、软件厂商公布的最新漏洞信息,对被测系统展开渗透测试。
四、源代码安全审计
1.安全编码规范及规则咨询
2.源代码安全现状测评
3.源代码整改咨询
五、信息通信行业安全评估
根据委托方的需求,对被测系统进行系统信息调研表,确定测试对象及范围。通过资产识别、威胁识别、脆弱性识别,结合已有安全措施有效性的确认,对风险进行计算。依据风险计算结果制定风险处理计划并评估残余风险。
六、网络信息安全风险评估
网络信息安全风险评估服务依据GB/T 20984-2007《信息安全技术信息安全风险评估规范》,参考《GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南》及CSTCQBXAJB033《信息系统安全风险评估规范V2.0》和用户安全需求,对被测对象从组织管理、业务及技术风险评估、投产及变更控制、系统安全性、日志管理、客户信息保护、外包管理等方面进行安全风险评估并针对系统存在的安全风险给出专业的整改建议。
七、关键信息基础设施安全保护检查与评估
关键信息基础设施安全保护咨询
关键信息基础设施认定和梳理
关键信息基础设施安全保护检查与评估
主动检测关键信息基础设施安全
被动监测关键信息基础设施安全
八、网约车安全风险评估
该评估工作的开展在GB/T 20984 2007《信息安全技术 信息安全风险评估规范》的基础上,还参考了OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)十大Web漏洞-20XX、YD/T2439-2012《移动互联网恶意程序描述格式》、GB∕T 39335-2020 《信息安全技术 个人信息安全影响评估指南》等依据。
评估内容主要包括网约车系统或平台安全评估、网约车APP安全保障能力评估两个部分。
九、新技术新业务信息安全评估(双新评估)
双新评估业务的服务内容包括业务应用安全、业务平台安全、业务运行安全、业务数据安全进行评估。其中业务应用安全包括包含用户、信息主题、信息载体、信息生成、信息传播、信息接收及信息留存;业务平台安全包括包括设备位置分布、资源调度方式、业务合作及开放接口;业务运行安全包括业务逻辑安全和通讯信息管理安全;业务数据安全包括数据采集、数据存储、数据传输、数据加工、数据转移、数据删除及个人信息安全。
十、安全规划咨询
规划咨询方面主要基于新网络安全形势下,国家网络强国、数字强国、数字新基建等发展战略,以及网安法等法律法规,行业及企业规章制度及合规性要求,上级主管部门考核要求,本组织战略规划等,为需求企业提供咨询及顶层规划服务。
十一、数据安全产品评价
测试内容主要包括:文档审核(包含用户手册、产品手册、安全手册等文档类测试评价)、基本功能核查(包含常用功能测试、审计功能核查、产品版本升级和补丁升级等测试评价)、性能测试(测试样本的识别率、准确率和操作时间等关键指标进行测试评价)、安全检查(针对数据安全产品进行漏洞扫描、安全渗透和源代码检测)等。
安全产品的评价结果给出相应的评价结论。评价结论包含两个级别:基本型和增强型。基本评价结论包括通过和不通过,增强型评价结果包含普通、良好、优秀三个评价结论。
十二、数据安全服务能力
目前能力评价工作组开展数据安全服务能力评定工作,主要包括数据安全评估能力、数据安全建设能力两项。
