网络安全框架支持

我们所提供服务的重要性
在信息系统审计与测试方面,以及涵盖风险评估和分析在内的安全咨询方面,atsec具有十分丰富的经验。同时atsec也会基于SP800-53第4修订版本作为网络安全框架的标准为关键基础设施产业中的机构提供FISMA咨询与审核服务。针对任何需要FISMA证书和合规认证的联邦部门,atsec都可以提供大量的帮助。

为了提升关键基础设施网络安全,NIST网络安全框架发布于2014年初。框架的核心部分参考了NIST SP800-53第4修订版本。atsec可以在任何需要使用这个框架来符合美国政府指导和要求的组织机构提供协助。

FISMA过程由NIST SP800-39定义,管理信息安全风险:组织、任务、信息系统视图,遵循包含多重纪律规范的IT安全技能的安全生命周期,其中包括:

  • 定期执行风险评估,包括可能导致未授权访问、使用、泄露、分解、修改与破坏信息或信息系统,以及组织机构资产的重大危害;
  • 基于风险评估的策略和流程,将信息安全风险降低到可接受的等级,并且确保信息安全在组织机构信息系统的整个生命周期中都被考虑到;
  • 如果适用,为网络、设施、信息系统或成组的信息系统提供足够的信息安全计划;
  • 为个人提供信息安全意识培训,告知其活动可能导致的信息安全风险,以及其需要符合组织机构策略和流程来减少风险的责任;
  • 至少每年度针对风险定期测试和评估信息安全策略、流程、实践和安全控制的有效性;
  • 计划、实施、评估并文档化纠正措施来应对无效的组织机构信息安全策略、流程和实践;
  • 检测、报告并响应安全事件的流程;
  • 制定计划和流程来保障信息系统的连续运行以支持组织机构的资产。

我们提供的服务:
atsec咨询顾问具备信息安全领域的多种技能,在很多已完成项目中都涵盖风险评估,且具备安全控制方面深层次的知识。我们为安全控制执行过很多审计与评估工作,而且也开发了安全控制监控系统。我们可以协助组织机构完成很多任务,如:

  • 提供FISMA和NIST风险管理框架(RMF)所要求的培训;
  • 为某些特殊需求提供专家级的建议,例如针对云计算服务和产品的评估和授权所指定的联邦风险和授权管理程序(FedRAMP:Federal Risk and Authorization Management Program);
  • 开发风险管理策略、流程和方法论,包括执行或协助执行风险评估;
  • 基于风险评估结果开发策略和流程;
  • 为网络、设施、信息系统或成组的信息系统提供信息安全控制的计划;
  • 提供信息安全意识培训(可以为组织机构提供培训材料,或直接代表组织机构提供培训);
  • 定期基于多种标准和体系测试和评估信息安全策略、流程、实践和安全控制的有效性;
  • 提供纠正措施的解决方案,包括计划、实现、评估并文档化纠正措施,用以识别组织机构中任何无效的信息安全策略、流程和实践;
  • 开发流程来检测、报告并响应安全事件;
  • 开发并回顾现存的计划和流程来确保用以支持组织机构资产的信息系统的连续运行;
  • 更多信息!

为了保障信息安全,atsec熟悉FISMA所定义的框架。我们能帮助您了解FISMA所要求的组件、软件或过程的认证,包括:

  • FIPS 140-2和加密算法认证(如AES),
  • 个人身份识别(FIPS 201),
  • (GSA)FIPS 201 评估程序(EP),
  • 通用评估准则(ISO/IEC 15408),
  • 开放可信技术提供商标准(O-TTPS),
  • 安全内容自动化协议(SCAP),
  • 安全技术实现指南(STIGs)的使用和定义,
  • 国家检查表程序(NCP)。