信息安全实施服务

信息安全设计

信息安全设计主要是针对信息系统的安全保障需求，对组织的安全规划进行落实，设计总体安全策略、制定信息安全建设方案和实施方案，并在此基础上形成安全架构、技术体系和管理体系的设计。信息安全设计一般可分为顶层设计、初步设计和详细设计等不同的服务交付物。信息安全设计还可以包含对信息安全产品的功能和性能设计，以及选型建议。

信息安全产品部署

信息安全产品部署主要是根据信息系统安全设计方案，对已采购、租用或开发的信息安全产品进行安装配置、功能调试和性能测试，以及对相关人员的必要培训等，以达到预期的安全要求。一般包括各类信息安全产品的独立部署、各自部署或者组合部署（集成部署）。

信息安全产品部署还可以包含对信息安全产品的采购，即按照设计方案中的要求，依据相关主管部门的管理要求，以产品性价比为原则，完成产品及其后续服务的采购。

信息安全开发

信息安全开发主要是按照信息安全设计方案的安全目标和安全功能，对于一些不能通过采购现有信息安全产品来满足的安全需求，通过定制开发而予以满足。信息安全开发也可以基于已有的信息安全产品进行二次开发。

信息安全加固和优化

信息安全加固主要是针对组织在实施风险评估、安全检查和测试过程中发现的各种安全风险、系统漏洞和不符合项，依据既定的信息安全策略，采取措施予以弥补，消除已暴露的问题和可能的隐患。信息安全优化主要是基于风险评估等方法，对现有网络和系统架构进行调整和优化，或对现有设备的安全策略进行设置和调整。在实际服务中，信息安全加固和信息安全优化往往同时进行。

信息安全检查和测试

信息安全检查主要是针对组织部署的信息安全技术措施及其运行记录进行检查或审查，验证安全措施的完整性和有效性，并及时发现异常活动和潜在风险。一般包括对信息系统各层面的运行状态检查、配置项检查、日志分析等，也包括借助专门的安全审计设备来实施检查。信息安全检查还可以包含对信息安全管理措施和相关人员的检查。

信息安全测试主要是针对信息系统及其产品的安全属性，采取动态的手段进行问题发现、符合性和有效性验证。一般包括信息系统测试、漏洞扫描和渗透性测试等。信息系统测试是指将已经确认的信息系统组成元素结合在一起，进行各种组装测试和确认测试，发现所开发的系统与安全需求不符或矛盾的地方，从而提出安全整改方案。漏洞扫描服务是指借助一些专业的漏洞扫描工具，发现信息系统各层面存在的安全漏洞，为信息安全加固提供支持信息。渗透性测试是指信息安全服务提供者的专业人员模拟攻击行为，对目标系统实施渗透，意图找到“非法”进入目标系统并取得相关权限的途径，从而测试目标系统安全控制措施的有效性。

信息安全应急处理

信息安全应急处理主要是根据组织信息安全应急管理体系，针对各类突发信息安全事件，提供实施层面的应急响应和应急演练。应急响应是对已发生的各类信息安全事件作出快速响应，及时而有效进行事件处理，最大程度上减少损失和该事件造成的消极影响，响应的方式可以按事件特点和级别，可以分为现场和远程两种。应急演练是根据组织已有的应急预案，在设备、系统、业务、组织等不同层面进行测试和演练，从而提高组织的应对各类突发信息安全事件的能力，演练的方式可分为桌面演练、模拟演练和实战演练。