国家近些年来陆续出台《网络信息安全法》、《全国人大加强网络信息保护的规定》、《中华人民共和国网络安全法》等较多有关网络安全的法律法规。如果以常规的单项合规咨询服务，来满足繁多的合规认证，无疑要投入大量的人力物力。因此TopSek为客户提供专业的融合式信息安全合规解决方案，帮助客户轻松应对各种合规需求。

我们可以全面差距分析，整体规划&建设

项目实施过程说明

项目实施过程说明

等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。《网络安全法》第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

TopSek根据国家、地方、行业的等级保护相关政策和标准要求，结合客户信息系统具体情况，为客户提供等级保护合规咨询服务。通过等级保护差距分析，协助客户发现信息系统的安全现状与需要达到的安全等级或目标的差异，配合客户完成信息系统的定级、备案和整改等工作，加强和完善客户在管理和技术方面的安全保障能力。

等级保护工作流程

等级保护认证流程主要包括定级、系统备案、差距分析、系统建设整改、等级测评、监督检查等。

• 定级：信息系统运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草《信息系统安全等级保护定级报告》；
• 系统建设整改：依据《信息系统安全等级保护基本要求》，利用自有或第三方的安全产品和专家服务，对信息系统进行安全建设和整改，同时制定相应的安全管理制度；
• 等级测评：信息系统建设整改完成后，信息系统使用单位选择合适的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评；
• 系统备案：安全保护等级为二级及以上的信息系统，信息系统运营使用单位应到对口的公安部门进行备案，同时提交《信息系统安全等级保护备案表》；
• 监督检查：公安机关及其他监管部门会在整个过程中，履行相应的监管、审核和检查等职责。

我们提供的服务

• 定级备案：依据定级要求、结合行业特点对业务信息系统提供定级参考建议，并协助客户完成定级备案工作；
• 差距分析：通过对照检查、人工分析等方法，分析目前已有安全保护措施与等级保护标准要求之间的差距；
• 方案设计：业内资深专家针对不同企业特点设计整体解决方案；
• 整改建设：从管理安全和技术安全两个方面，提高企业信息系统的安保能力；
• 安全培训：为企业提供等级保护和安全意识的培训服务；
• 等保运维：定期为企业提供评估服务，接受主管单位的定期检查。

ISO 27001意在组织内部建立信息安全管理体系（ISMS）的一套规范，其中详细说明建立、实施、运行、监督、评审、保持和改进信息安全管理的模型和要求。ISO 27001的认证对象可以是组织、位置、信息资产或特定技术，其评审对象是与认证范围有关的信息资产、人员活动以及信息安全管理过程。

认证目的

• 用以制定安全标准、实施有效的安全管理，切实提高组织的信息安全管理水平，提高全员信息安全意识，降低信息安全风险，保证信息的保密性、完整性和可用性；
• 得以使跨机构的交易得到互信，增强投资者及其他利益相关方的投资信心；
• 符合法律法规要求。向权威机构表明，组织遵守了所适用的法律法规；
• 通过定期的监督审核将确保组织的体系不断地被监督和改善，并以此作为增强信息安全性的依据。

咨询认证过程

• 1.现状调研、资产分析

• 调研对象与范围：公司现有信息安全管理相关制度；公司现有信息安全技术与工作流程；信息安全标准及监管要求；公司信息安全需求。
• 现状调研实施方法：资料收集及文件审核分析；问卷调查；现场访谈，技术验证。

• 2.差距分析与风险评估

• 技术评估：资产识别（CIA）；威胁识别；漏洞评估（扫描、渗透测试、代码审计）；风险分析。
• 管理评估：安全管理制度评估； 管理制度执行评估。

• 4.运行、检查与改进

TopSek专业的ISO27001咨询服务有助于客户了解当前存在的信息安全管理缺陷及技术漏洞。客户可以依据相关建议采取适当的措施，完成管理策略和流程，采取技术手段弥补相关漏洞，从而使企业面临的信息安全风险降低，达到可以接受的水平。

PCI DSS认证全称Payment Card Industry（PCI）Data Security Standard（DSS），由VISA、美国运通公司、发现金融服务公司、JCB和万事达国际组织等五家国际信用卡组织联合推出，旨在规范支付交易相关的服务提供商和与其签约的大型商户，使他们遵循此标准以促进信息安全建设。PCI DSS信息安全标准有6大项目，12个小项的要求，是目前全球最严格、级别最高的金融机构安全认证标准。

标准范围

PCI DSS 对于所有涉及信用卡信息机构的安全方面做出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求等，全面保障交易安全。

PCI DSS 包括一组持卡人信息的基本要求，并可能增加人外的管控措施，以进一步降低风险。

PCI DSS审查范围

认证目标行业

• 互联网金融/银行：互联网金融，例如第三方支付、P2P、贷款、金融理财、票据业务、互联网电商，国内四大行、上市银行、区域银行；
• 保险/证券/基金：所有保险、证券、基金等金融行业企业；
• 云平台/数据平台：所有设计银行收单业务的数据中心，如阿里云、京东云、腾讯云等金融数据中心，必须过PCI DSS认证；
• 连锁企业：所有时尚品、快消、医药、食品、健康等连锁店。

PCI DSS合规价值

咨询过程

差距分析

• 客户需要通过差距分析，来评估客户现有业务系统与PCI DSS标准差距体现在哪里。

合规性建设

• 通过以上差距分析中的这些技术服务和安全评估可以很好的检测出系统组件及应用程序中所存在的脆弱点。

随着数据安全与个人信息保护的法律的健全，当敏感信息泄露时责任单位所面临的除了自身名誉、客户、资金的损失外，还可能面对数据泄露后所负的刑事责任和赔偿责任。与之相对应的是，现在大多数单位在数据安全与个人信息保护方面的防护措施都不是很到位，敏感数据泄露的途径和潜在风险非常的多。

《网络安全法》于2017年6月1日起施行明确规范网络空间内网络运营者和关键信息基础设施运营者搜集、使用个人信息的责任和义务，特别是个人信息跨境传输转移的要求；除网络安全法以外，中国还针对特定行业制定相应的个人信息保护法律法规。TopSek将协助客户建立隐私和个人信息保护框架，规范个人信息在数据生命周期中的安全。

为能够适应形势的发展，考虑企业自身的切身利益，TopSek将根据相应法规推出以下应对方式：
• 全面、系统地评估企业自身的敏感信息泄露途径与风险场景，并以此为基础建立具有针对性的安全策略；
• 综合运用技术产品与管理流程制度措施，全方面地进行数据安全与个人信息保护建设，不断的封堵敏感信息泄露途径；
• 加大数据安全与个人信息保护宣传教育，不断提升全体人员敏感信息保护意识，促进敏感信息保护文化建设。

TopSek通过以上的合规措施帮助企业最大程度地保护个人信息安全。

云计算已成为全球热门的IT应用服务，但多数组织在采购和使用云计算服务时都会重点关注信息安全问题，如信息是否会被泄露、业务是否能够持续稳定运行、云服务供应商的操作是否合规等。

CSA STAR certification认证由CSA（云计算安全联盟）和BSI（英国标准协会）联合推出，作为国际上最权威的云计算安全认证之一，受到众多顶级云计算供应商的青睐，他们都以通过STAR认证作为向客户展示自己安全管控水平的证明。

STAR认证是信息安全管理体系ISO/IEC 27001的增强版本，也是国际公认的云服务商安全资质，它在ISO/IEC27001附录A的基础上结合了云控制矩阵(Cloud Control Matrix)、成熟度等级评价模型，以及相关法律法规和标准要求，对云计算服务进行全方位的安全评价。

STAR云安全评估价值

• 确保管理层能够掌握全面的信息，从而评估其管理体系是否能够有效达到国际标准与云安全行业的预期；
• 开展夺身定制的审计工作，反映出如何将公司目标定位于实现云服务的优化；
• 使公司通过外部认证机构的独立评级，证明进展情况和绩效水平；
• 使公司将其业绩表现与同行进行基准比较。

通过STAR云安全评估，接受认证的公司将能够使其潜在客户更深入的了解安全控制水平。此外，STAR云安全评估将会突出公司需要关注的领域。

自2018年5月25日，欧盟《通用数据保护条例》GDPR（General Data Protection Regulation）正式生效以来，凡受到该条例管辖的组织都必须依照《条例》规定，证明自身的合规性，包括数据记录和活动处理、完成隐私影响评估，以及定期执行隐私审计和政策审核。

GDPR适用范围

根据GDPR第3条规定，任何存储或处理欧盟国家内有关欧盟自然人个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。

GDPR数据处理原则

• 合法、公平、透明原则；
• 目的限定原则，出于特定、明确、合法的目的收集个人数据，进一步处理不得有悖于前述目的，除非符合公共利益、科学研究等正当目的；
• 数据最小化原则，所收集、处理的个人数据之于其处理目的，应当准确、相关、必要；
• 准确原则，确保个人数据准确、时新；
• 有限留存原则，除非符合公共利益、科学研究等正当目的，否则对个人数据的留存期限不能超过其处理目的；
• 完整、机密原则,采用技术手段确保个人数据安全，不被非法处理、窃取、损毁等；
• 责任原则，控制者应当遵守前述六项原则并承担责任。

GDPR罚金

监管机构可征收高达2000万欧元的严重处罚，或者上一年全球年营业额的4%，以较高者为准。制裁相关因素包括以下几条：
• 违规的性质、严重程度和违规的持续时间；
• 违规是故意的还是因疏忽导致；
• 对个人身份信息处理的控制程度；
• 违规是单个事件还是重复事件；
• 涉及的数据主体遭遇损害的程度；
• 为了减轻损害是否采取行动；
• 由违规产生的财务预期或收益；
• 与数据保护机构的合作情况。

'

GDPR合规概要

TopSek的GDPR咨询服务，通过详细解读GDPR的相关法规要求，结合国内外的信息安全管理要求：ISO 27001、等级保护、网络安全法等，以及先进的技术评估工具，从人员、流程、技术和隐私治理多个方面，帮助客户快速发现不合规的领域并提供应对措施，以督促企业尽快符合GDPR的要求，并通过实施GDPR合规项目，逐步形成成熟的企业数据治理与保护体系。

Trusted Information Security Assessment Exchange（德国汽车行业的通用信息安全评估，TISAX），最早起源于德国大众内部对其合作伙伴的信息安全审计，以实现对敏感信息的共享和保护，目前已通过德国汽车工业协会（VDA）逐渐扩展到所有的德国汽车主机厂（包括戴姆勒、宝马等），成为一种通用的对供应商信息安全能力水平的评估和交换机制，目的是为了实现德国汽车行业信息安全评估的相互接受，该项评估的流程和标准在2017年开始成为强制性要求，全球所有供应商（包括零部件厂商、外围服务商等）均应建立和维持其信息安全管理体系，并通过与之对应级别的TISAX审计，作为准入条件。

TISAX 审计级别、范围和具体要求

1.审计级别

TISAX按照信息安全保护程度，一共分为三个级别：AL1,AL2 (High), AL3 (Very High)。除AL1只需要供应商进行自评估外，其余等级均需要通过第三方审计。中国国内的供应商，无论是AL2还是AL3，都需要（对每个涉及的工作场所）进行现场评估，包括人员访谈、实地查看、取证确认等。

2.评估内容

从具体的评估内容来看，至少包括信息安全评估（ISA）共计52个控制点，这些控制点主要参照ISO/IEC27001和27002标准体系，并根据德国汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作，还可能包括对原型保护、第三方连接、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度，得分范围在0-5之间，最终得分由各项汇总后，按照偏差百分比决定是否通过TISAX审计（供应商可以根据偏差发现进行及时整改，并在规定时间内寻求审计确认）。

通过TISAX认证的好处

• 能够满足外部需求方的直接要求，行业内的相互认可。所有VDA成员和OEM都需要获得ISAX认证, TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准，评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信；
• 避免多次检查降低了管理成本。TISAX认证基于统一的VDA-ISA安全评估目录和标准，通常每年只需要进行次TISAX评估；
• 提升员工安全意识。员工的行为对公司内部的安全有重大影响，通过TISAX提高员工安全意识与能力。

TopSek将为汽车行业的客户提供TISAX安全评估认证，包括TISAX体系介绍和应审培训，协助客户进行自评估和差距分析，协助客户制定整改计划并跟进，TISAX应审准备（材料、人员等）；按需提供现场审核（预审、正审），包括适用性分析、差异分析、初步改进建议等；与客户现场沟通确认审计报告（包括整改后的再次确认），完成TISAX正式审计报告，客户最终确认后上传ENX平台。