信息系统是一个复杂的系统，信息系统的安全建设是一个系统工程，因此从系统的安全风险评估、安全需求分析，到安全总体规划、详细安全设计，再到安全产品选择与安全集成以及安全管理策略的制定都要参照系统工程学的方法和思路。

    在开展信息系统的安全建设之前，需要在安全专家的指导和帮助下，首先对信息系统的基本情况和安全风险进行科学全面的评估，从而更为准确、全面的了解信息系统的安全需求，以此为参考为客户进行总体规划和详细设计方案设计，提供最恰当的安全控制措施及安全管理策略来降低安全风险，最终帮助客户实现真正意义上的网上安全。

    在这个过程中，中科网威的安全团队具有丰富的专业经验积累。中科网威安全顾问将为您提供信息安全管理、资产评估、风险评估、安全策略设计、风险管理等系列安全咨询服务

服务内容

    中科网威公司选择了ISO 17799、ISO 13355、ISO 15408、《电子政务信息系统安全保障评估准则》作为自己信息安全咨询服务的蓝本，及时跟踪各种标准的发展进程，充分结合国内当前企业的实际情况，为客户提供信息安全体系设计全系列的咨询服务。

策略制定

安全策略概述

  安全策略为网络和信息安全提供管理指导和支持。应该制定一套清晰的指导方针，并通过在组织内对信息安全策略的发布和保持来证明对信息安全的支持与承诺。

  中科网威在风险评估之后可以根据客户的实际情况制定详细的安全策略，主要包括以下几个部分：

  信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性；

a) 申明支持信息安全目标和原则的管理意向；

b) 对组织有重大意义的安全策略、原则、标准和符合性要求的简要说明，例如：

     符合法规和合同的要求；

     安全教育的要求；

     对计算机病毒和其他恶意软件的防范和检测；

     可持续运营的管理；

     违反安全策略的后果；

c) 对信息安全管理的总体和具体责任的定义，包括汇报安全事故；

d) 提及支持安全策略的文件，如：特定信息系统的更加详细的安全策略和程序，或用户应该遵守的安全规定。

技术标准和规范

  技术标准和规范，包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。