[商业信息]谷安咨询 引领数字经济时代的企业IT风险咨询服务（完整版）

【/h/】固安天下作为中国中立的网络安全与风险服务机构，自成立12年以来，一直专注于信息安全与it 风险管理领域的研究与实践，致力于全面提升中国企业的安全能力和风险管控能力。为国内数百家金融、政府、运营商、央企、能源客户提供咨询服务，培养了一大批信息安全和it 审计领域的专业人才，一篇文章让您全面了解固安咨询业务！(建议先看马)

固安咨询可以做哪些项目？

01新时代网络安全规划咨询

新技术发展风起云涌，云计算和大数据已经成熟。以物联网、移动互联网和人工智能为核心的新型互联网将在未来几年迅速发展。网络安全不再局限于传统的安全范畴，一个泛安全的数字安全生态正在逐步形成。企业需要在继承现有信息安全体系的基础上，构建新一代的网络安全体系。

很多银行、证券公司、保险公司、央企、大中型国企民企、政府机构等。，需要规划网络安全的愿景，加强网络安全的顶层设计，设计新时代的数字安全架构，构建关键信息基础设施安全体系，规划安全技术的实施方案，保护重要数据资产的安全，全面感知网络安全态势，实现企业日常运营和生产的安全

【/h/】新时期固安网络安全规划咨询项目可为企业提供网络安全现状调查、数字安全架构设计、网络安全总体规划、网络安全系统规划、网络安全专项工程规划、网络安全人才培养规划、网络安全实施蓝图设计等。

02云安全规划咨询

【/h/】随着国家云战略的实施，各类组织都在规划建设统一共享的云数据中心，各业务板块都在积极推进信息系统的云战略。云计算将成为未来企业的关键信息基础设施。然而，云计算不同于传统的数据中心架构模式，在虚拟化、多租户、数据存储、数据流、安全保护、身份认证、访问控制、合规性要求等方面都有新的安全需求。，因此有必要重新规划云安全。固安可以提供云安全架构规划、云安全防护咨询、云安全监控及运维管理咨询、云安全审计等服务。

实施案例:粮油食品行业某央企云计算中心安全规划咨询项目、能源行业某央企云计算中心安全规划咨询项目、某电信运营商云运维服务系统规划实施、某股份制银行云安全系统规划项目

03新级别保护合规咨询

近年来，国家加强了对网络安全合规、检查和处罚的要求。《网络安全法》要求对各级组织的信息系统实施分级保护，公安部于2019年5月发布了新版分级保护标准。新标准包括云计算、移动互联网、物联网和工业控制系统。鉴于新版等级保护标准在内容和方法上的巨大变化，国内各机构都面临着实施新版等级保护标准的压力。

【/h/】固安天下在分析现有同等保护体系的基础上，针对新版同等保护的要求，分析、规划并实施新等级保护对客户的总体安全要求，并根据客户的实际情况实施新的应用安全扩展要求，在网络安全组织、管理、技术、人员等方面提供最佳的实施方法。

【/h/】提供现状调查、系统分级、协助备案、风险评估和缺口分析、组织人员规划、系统流程整理、技术方案设计、协助评估、协助整改、平等保险管理平台设计、平等保险培训等服务。

【/h/】实施案例:粮油食品行业某央企集团网络安全规划项目、某国际快货集团中国公司新等级保护合规项目、某矿业央企等级保护评估整改项目、某国家机关信息安全等级保护管理体系建设项目、某金融科技公司信息安全等级保护项目

04it外包管理系统咨询

目前，中国it服务外包行业呈现出前所未有的光明前景。“互联网+”、众包、数字智能服务、开发承包战略合作、人才共享平台等新概念正在加速it服务外包的创新和转型。一方面，it外包为企业带来了优化资源配置的新途径，为组织创造了市场机会和商业价值。另一方面，也要看到服务中断、系统故障、信息泄露、经济纠纷等问题。由于it外包管理不善，也层出不穷。此外，随着企业社会化供应链的广泛应用，it外包风险的扩散和深度正在加快。

it外包风险管理已经上升到组织战略层面，因此有必要考虑在组织内建立it外包风险管理体系。固安天下针对it外包存在的安全风险，协助组织建立it外包风险管理框架，从it外包治理、外包风险管理、外包运营、内部评估和外部评估等方面有效控制it外包风险。

【/h/】固安天下it外包风险咨询服务涉及it外包治理、it外包计划、it外包服务采购、it外包服务实施、it外包安全控制、it外包服务评估与审计等。

05信息技术风险管理系统咨询

十三五期间，金融业将迎来低利润时代，将迅速进入挑战与机遇并存、优胜劣汰的关键转型期。各金融机构纷纷提出建设互联网金融生态、推进互联网、大数据、云计算应用的要求，使信息技术成为业务转型和业务创新的关键引擎。然而，金融机构在利用信息技术加强创新的同时，也面临着信息技术带来的风险。目前，银行业务因缺乏信息技术治理、管理低效、系统故障、黑客攻击和信息泄露而中断的情况并不少见。信息技术故障会给金融机构带来巨大的经济损失和严重的声誉影响。

金融机构应进一步加强信息安全和信息技术风险管理，不断完善信息技术风险管理体系和网络安全技术保障体系，确保和促进金融业务健康有序发展。

【/h/】参照银监会发布的《商业银行信息技术风险管理指引》、isaca的信息技术控制框架cobit5和行业信息管控最佳实践，协助金融机构建立包括业务部门、技术部门、风险管理部门和审计部门在内的信息技术风险管理体系；协助金融机构落实信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试维护、信息科技运营、业务连续性管理、外包、内部审计和外部审计等方面的监管合规要求，建立有效的信息科技风险管控机制。

实施案例:国家金融当局某清算中心、某大型国有银行、华南某农村信用合作联社、华南某农村商业银行、西部某农村信用合作联社、华北某城市商业银行、中南某城市商业银行

06信息安全管理系统咨询

【/h/】新时期企业信息化强调“开放”提高业务效率，尊重“人性化”优化用户体验，促进“协作”培育社会生态。然而，在开放协作、优化体验的同时，信息化必然会引入各种新的安全风险。目前，网络世界中频繁发生的apt攻击、信息泄露、社工诈骗、系统中断等风险，必然会在企业信息化系统中齐头并进。

【/h/】以国际信息安全管理标准iso27000为核心，结合分级保护体系的相关要求，构建企业信息安全管理体系，完善信息安全组织，落实管理责任，完善安全架构，构建技术防御体系，强化员工意识，通过系统标准化、管理流程、测量指标、操作工具等手段保障安全体系，科学平衡业务发展与信息安全的关系，保障企业

【/h/】固安可提供安全状况调查、安全风险评估、安全组织体系建立、安全体系建立、安全技术体系建立、安全培训体系建立、安全体系落实到岗位职责、安全体系持续运行与监控、协助组织iso27001审核认证、安全专项设计等。

07数据安全管理和控制咨询

在数字经济时代，数据已经成为企业的重要资产，业务数据的保密性、完整性和可用性对企业来说越来越重要。特别是随着企业“互联网+”业务的发展，用户在线交易的大幅增加，以及大量跨行业、跨市场、跨境业务的出现，需要更多地利用互联网进行在线交易和数据交换。由于外部安全隔离和内部访问控制不足，企业将面临越来越大的网络入侵和信息泄露风险。此外，随着《网络安全法》的实施，国家保护敏感个人信息的努力也在加强。

【/h/】一旦因内部疏忽和外部入侵导致业务敏感信息和个人敏感信息的泄露，不仅会给企业造成巨大的经济损失，对公司声誉造成巨大的负面影响，还会受到国家法律的严惩。

【/h/】为了适应新时代的发展要求，企业需要参考网络安全法、个人数据保护条例、数据跨境流管理措施、行业数据治理指引等合规要求，对业务运营中涉及的敏感信息进行识别、评估和控制，以保护敏感信息的安全，保证业务系统的健康运行。

【/h/】固安天下参照国内外数据安全标准和行业最佳实践，建立了敏感数据保护框架的iacm模型，包括风险识别、评估、控制和监控四个功能模块。其中，风险识别包括识别业务数据、识别私有数据、敏感数据分类、敏感数据分级等。风险评估包括静态数据风险评估、动态数据风险评估、操作行为风险评估和控制基线缺口分析；安全控制包括访问控制、数据加密、异常检测、实时防御、挖掘和取证等。监控报告包括集中管理、智能分析、安全审核、合规报告等。

实施案例:某金融机构数据安全管理全国专项咨询、华南某证券公司敏感数据保护咨询项目、华北某证券公司敏感数据保护咨询项目、某安检企业敏感信息防泄密及信息安全体系框架规划咨询服务项目

08it治理咨询

由于新技术和经济环境的快速变化，企业的it治理面临着前所未有的挑战。目前组织的it在决策效率、新技术架构应用、快速R&D、客户体验等方面存在较大缺陷。，导致it能力不足，it无法支持组织的业务来应对新环境的变化。特别是随着“互联网+”国家战略确立，企业信息化成为企业获取核心竞争力的重要力量。如何控制信息化风险，增强信息化能力，支持和引领业务发展，已成为当前企业关注的热点问题。

【/h/】固安天下一般有现状调查、评估分析、规划设计、实施四个步骤。通过it治理咨询，组织可以在快速战略决策、有效需求把握、快速项目实施、系统部署和服务、适应性信息安全和风险管理、it投资管理六个方面提高it能力。

【/h/】实施案例:某政策性银行it外包风险管控支持项目、华北某农村信用社协会信息技术风险管理咨询项目it外包项目、财政部主管的某大型企业集团网络安全规划项目it外包项目、某粮油食品行业中央企业集团网络安全规划项目it外包项目、某钢铁行业中央企业集团财务公司it外包安全咨询项目。华东某农村信用社It外包与业务连续性管理风险专项评估项目，华北某城市商业银行it外包系统建设与研究项目，华南某农村商业银行it外包管理与信息安全管理咨询项目，华北某城市商业银行IT外包管理系统建设项目

【/h/】固安拥有国内首批信息化风险管理专家多名。曾在国内外知名咨询公司工作，精通银行、保险、电信、制造等高级顾问，以满足企业内部控制需求，实现职业价值最大化，采取可靠的控制措施，提供可落地的解决方案。欢迎咨询！Wx: lhq6013了解咨询合作