信息安全咨询服务

信息安全规划

信息安全规划主要是从组织核心业务、核心价值出发，根据组织的发展战略，通过风险评估等方式提取组织的安全需求，对相应的安全保障目标、任务、措施和步骤进行规划。信息安全规划应站在组织整体的角度，从策略、组织、管理、技术、资源等多方面进行综合考虑，涉及综合管理、技术规范、工程建设、运行维护等多个层面。信息安全规划的成果，是组织在一段时间内开展信息安全保障工作的依据。

信息安全管理体系咨询

信息安全管理体系咨询主要是依照国际或国家信息安全管理体系相关标准，基于业务风险方法，通过定义范围和方针、业务分析、风险评估、设计、实施等步骤，面向组织建立、实施、运行、监视、评审、保持和改进信息安全的体系。信息安全管理体系是一个组织整个管理体系的一部分，应包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源等多个方面。

信息安全风险评估

信息安全风险评估主要是依据有关信息安全技术与管理标准，从风险管理角度，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，通过评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并提出有针对性的抵御威胁的防护对策和整改措施。信息安全风险评估应贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。

信息安全应急管理咨询

信息安全应急管理咨询主要是针对各类各级信息安全事件，从应急管理角度，通过编制应急预案和指导应急演练，面向组织建立信息安全应急管理体系，不断进行改进和提高，应急预案的内容包括：建立组织的应急响应小组，制定应急响应流程，建立监测和预警机制，落实应急保障资源，制定子预案及相关支持文档，以及指导实施应急处理（见6.8）等。

业务连续性管理咨询

业务连续性管理咨询主要是为保护组织的核心业务、核心价值，从保障组织的业务持续开展出发，通过识别组织业务的连续性指标要求，识别潜在的威胁和相关影响，制订业务连续性计划和灾难恢复计划，最终帮助组织建立一套综合管理流程，形成组织的业务保持和恢复能力，提高组织的风险防范能力，有效地响应非计划的业务破坏并降低不良影响。