谷安天下_soc(IT管控系统).pdf

谷安天下谷安天下 ITIT 风险管控风险管控软件软件 （（ITRM）） 产品产品白皮书白皮书 公 司：北京谷安天下科技有限公司 地 址：北京市中关村南大街 2 号数码大厦 A 座 2906 联系我们: (8610)51626887 E-MAIL: Marketing@  GooAnn-IT 管控软件管控软件白皮书白皮书 1 / 14 目 录 一、 什么是IT风险管控软件？ ............................................................ 3二、 为什么需要IT风险管控软件系统？ .................................................... 3三、 实施IT风险管控可能遇到的难题？ .................................................... 4四、 实施IT管控软件系统的益处？ ........................................................ 4五、 谷安天下IT管控系统能为企业做什么？ ................................................ 5六、 系统总体架构简介 .................................................................. 5七、 系统主要模块介绍 .................................................................. 7风险评估管理模块——GOORISK ....................................................... 7安全体系建设模块——GOOISMS ...................................................... 8安全运营管理模块——GOOPROCESS .................................................... 9安全知识管理模块——GOOAWARENESS ................................................ 10八、 ITRM产品特点 ..................................................................... 11九、 系统架构与运行环境 ............................................................... 11十、 联系我们 ......................................................................... 13  GooAnn-IT 管控软件管控软件白皮书白皮书 2 / 14 关于谷安天下关于谷安天下 北京谷安天下科技有限公司（GooAnnGooAnn，简称谷安天下）是业内处于领先地位，致力于 IT 治理、IT 风险管理、IT 审计等领域的专业机构。

总部设在北京，并在上海与深圳设有分公司 GooAnn GooAnn 协助企业能够独立地识别、评估和管理企业信息化风险，解决企业 IT 治理、内部控制、信息安全、风险管理、业务连续性、合规性管理等各方面的问题并提供国际领先的 IT 风险管理系统工具，帮助企业在瞬息万变的市场和技术发展中应对 IT 风险和审计的诸多问题我们在 IT 风险管理咨询及解决方案方面积累了非常丰富的经验，并且形成了一整套科学完整的方法论和工具体系，拥有很多国内第一批信息化风险管理专家，曾经任职于国内外著名咨询公司、精通各行各业的资深专业咨询顾问，满足企业的内部控制需求，促使专业价值最大化，并采用可信任的控制措施，提供多种多样的解决方案 GooAnn GooAnn 秉承永不满足、追求完美的价值理念，孜孜不倦地追求实践与创新，不断突破现有理论和技术，为企业提供最贴身、最高效的定制化服务 GooAnn 为您提供的服务为您提供的服务 咨询咨询 培训培训 信息安全管理咨询 CISA 国际信息系统审计师培训 IT 服务管理咨询 CISSP 国际注册信息安全专家培训 IT 内部控制咨询 CISP 国家注册信息安全专家培训 IT 审计 ITIL Foundation/Manager 认证培训 业务连续性咨询 安全意识工程培训 黑客攻防技术培训 ISO27001 体系培训 等级保护体系培训 风险管理软件风险管理软件 服务服务 GooRisk-信息安全风险评估系统 安全评估与加固 GooISMS-信息安全体系建设系统 渗透测试与应急响应 GooProcess-安全运营管理系统 源代码安全审核 Goo-Awareness-安全知识管理系统 应用安全评估与管理 Goo-Audit-安全审计管理系统 网络安全运维管理 网站流量运维管理  GooAnn-IT 管控软件管控软件白皮书白皮书 3 / 14 一、什么是 IT 风险管控软件？ GooAnnGooAnn 依据在银行、证券、保险、电信、移动、政府、能源、软件等行业积累了大量 IT 风险管理服务案例，总结分析了众多标准与实践经验，进行了系列理论创新与技术创新，创造性的提出了适合国内企业实际情况的 IT 风险管理实践框架，并在此基础上研发了 IT 风险管控系列软件，从组织，流程和资产三个维度来全方位的进行风险分析、建立体系、运营管理和监控优化。

• ITRM是用于帮助企业自己建立IT风险管理体系的软件平台； • ITRM是将IT风险管理过程固化，建立控制体系并持续运营的IT风险管控平台； • ITRM目前涵盖了风险评估、体系建立、运营管理、监控审计与意识提升五大模块； 二、为什么需要 IT 风险管控软件系统？ 2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》; 2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》; 2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》; 2006年6月，国务院国资委出台了《中央企业全面风险管理指引》; 2006年6月，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》; 2006年9月，深圳证券交易所发布《深圳证券交易所上市公司内部控制指引》; 2007年，公安部明确了《信息系统等级保护基本要求与实施指南》; 2007年4月，保监会发布了《保险公司风险管理指引（试行）》; 2008年9月，财政部、审计署、银监会、证监会、保监会联合发布《企业内部控制基本规范》; 2008年底，证券协会发布《证券期货经营机构信息技术治理工作指引》; 2009年3月，银监会发布《商业银行信息系统风险管理指引》; 近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求，谷安依据GooAnnGooAnn－IT风险管理与控制框架，开发了GooAnnGooAnn—IT风险管理体系，从整体上分为IT治理、IT管理、IT控制与审计三个方面，并在此基础上结合多年的行业咨询经验，陆续开发了IT风险管控系列软件系统。

 GooAnn-IT 管控软件管控软件白皮书白皮书 4 / 14 谷安天下 IT 风险管理框架 三、实施 IT 风险管控可能遇到的难题？ • 如何增强风险意识，培育风险管理文化？ • 如何将IT风险管理体制与企业日常管理和经营相融合？ • 如何构建IT风险预警体系？现有安全预警体系是否有效？ • 风险管理的角色、责任和义务是否合理或明确？ • 是否对所有潜在的重大IT风险都进行了识别、评估和管理？ • 面对数量众多的IT风险，应如何对其进行管理？ • 如何在全集团范围内推行全面IT风险管理？ • 是否配备熟悉IT风险管理框架及《风险管理指引》等政策的人员？ 四、实施 IT 管控软件系统的益处？ • 将IT风险管理和企业的发展战略结合在一起 • 将企业成长、业务发展和IT风险联系起来 • 使企业的经营意外和损失最小化，帮助管理层改善业绩表现 • 确认和管理企业的总体IT风险，针对多种风险提供整合的应对方案 • 优化IT风险管理成本，合理分配资源 • 满足各种合规性要求，降低合规性成本 • 培养IT风险管理人才，提升全员风险管理意识  GooAnn-IT 管控软件管控软件白皮书白皮书 5 / 14 • 提升公司IT治理水平，增强投资者和利益相关者的信心 五、谷安天下 IT 管控系统能为企业做什么？ • 提供IT风险管理体系建设的实施方案建议 • 协助评估企业现有IT风险管理的差距 • 协助企业构建IT风险管理基本框架及体系 • 协助企业编制IT风险管理手册 • 协助企业构建IT风险关键指标(KRI)及风险预警机制 • 协助企业构建IT风险评估标准体系并进行风险评估 • 协助企业构建IT风险管理数据库 • 协助企业制定IT风险管理策略 • 协助企业评估IT风险应对措施的有效性 • 协助企业IT风险控制流程与日常管理的融合 • 协助企业IT风险管理控制流程的落地 • 协助提供IT风险管理相关的各种培训 • 实现“内嵌式”的“全面”IT风险管理，发挥风险管理的效果 • 立足于现有管理基础，实现成本效益最大化 • 契合各项法律法规要求，实现一举多得的目标 • 完成知识转移，为企业培养IT内部控制的专业人才 六、系统总体架构简介 IT 风险管控系列软件目前包括如下主要模块：  GooAnn-IT 管控软件管控软件白皮书白皮书 6 / 14 评风险评风险- -GooRiskGooRisk GooRisk 安全风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。

建体系建体系- -GooISMSGooISMS GooISMS 安全体系建设软件提供了信息安全体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行 固流程固流程- -GooProcessGooProcess GooProcess 安全运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地 常审计常审计- -GooAuditGooAudit GooAudit 安全审计管理软件提供了信息安全审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理 强意识强意识- -GooAwarenessGooAwareness GooAwareness 安全知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

 GooAnn-IT 管控软件管控软件白皮书白皮书 7 / 14 七、系统主要模块介绍 风险评估管理模块风险评估管理模块————GooRisk 模块模块简介：简介： 信息安全风险评估，是指依据国内外有关信息安全相关标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险 风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作GooRisk 风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来，还可以完成一些人力无法完成的工作。

该软件的风险评估和风险管理过程既满足国际标准 ISO27001、ISO27002 和 ISO27005 的要求，也满足国家标准 GB20984《信息安全风险评估规范》的要求，以及公安部等级保护测评要求 模块模块功能：功能： 范围定义范围定义 IT 相关基本信息收集与归档，在系统中 IT 控制对象分为组织、流程以及信息资产三类组织可以是企业、政府机构以及任何单位的各级部门机构；流程主要包括通用的基本流程和自定义的业务流程两大类；IT 资源包括物理场所、网络基础设施、系统平台、业务应用系统、信息、人员等几大类 安全安全调研调研 提供安全调研问卷和检查列表，为安全管理与安全技术的现状调查提供工具支撑支持 nessus 扫描工具报告的自动导入，帮助客户有效分析安全现状 风险评估风险评估 对所有 IT 资源（资产）进行安全风险评估，包括资产价值评估、威胁可能性评估、弱点严重程度评估、综合风险评价、风险处置以及残余风险分析，其中包括：资产价值评估；资产威胁评估；资产弱点评估；风 GooAnn-IT 管控软件管控软件白皮书白皮书 8 / 14 险评估和处置措施。

软件提供了资产、系统、流程、业务、部门等各种风险综合视图，并提供了分行业的信息资产风险库，可快速生成风险评估结果，客户再根据自身情况调整，大大加快了风险评估的过程，提高了风险评估的质量 模块模块特色：特色： 管理技术并重：提供技术评估工具支持与管理控制措施要求，全面提升风险评估质量 多角度多层次：提供资产、系统、流程、业务、部门等多角度风险评估视图 行业经验推荐：提供银行、证券、保险、电信、移动、政府、能源、软件等行业的风险知识库 符合法规标准：全面符合国际标准 ISO27001、国家标准 GB20984《信息安全风险评估规范》，以及公安部等级保护测评要求 安全体系建设模块安全体系建设模块————GooISMS 模块模块简介：简介： GooAnnGooAnn 总结了相关领域咨询经验，形成完善的信息安全体系建设方法论，并整合当前纷繁复杂的安全风险控制相关法规制度标准指南及实践要求，形成了一个涵盖 ISO27000、等级保护、Cobit 等各类 IT 风险控制准则的控制目标或措施要求知识库通过结合 IT 风险控制体系建设流程及知识库，GooISMS 能满足各级组织的 IT 风险控制体系建设需求。

模块模块功能：功能： 安全体系规划安全体系规划 分析识别出的改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员 安全体系建立安全体系建立 组织体系建立：相关人员、职责及联系信息  GooAnn-IT 管控软件管控软件白皮书白皮书 9 / 14 文件体系建立：各类方针、策略、程序及作业指导书的模板及具体文件的归档、版本控制 安全体系实施安全体系实施 将各个任务实施的情况记录到系统中，执行有效跟踪 安全体系保障安全体系保障 体系内部审核、外部审核及管理评审的记录 安全事件的记录及处理措施落实记录 安全运营管理模块安全运营管理模块————GooProcess 模块模块简介：简介： 安全体系建立后，如何真正让安全管理有效运行，需要建立一套有效的工作流管理流程。

GooProcess 通过借鉴 ITIL，完善以流程为导向的安全管理体系，建立和补充安全管理流程，使安全管理体系尽量流程化、标准化，探索科学、合理的安全管理模式 模块模块功能：功能： 通知公告管理：企业安全相关的工作通知、工作公告、事务公告的发布管理流程 安全事件管理：企业安全事件相关的申报、跟踪、处理、分析、总结等管理流程 帐号权限管理：企业信息系统相关帐号与权限的申请、审批、监督检查等管理流程 人员安全管理：企业员工入职、考评、离职等过程中的安全管理流程 设备安全管理：企业硬件、移动介质等设备的安全使用管理流程 软件安全管理：企业软件许可证、软件系统变更中的安全管理流程 数据安全管理：企业数据备份、介质数据清除等安全管理流程 物理安全管理：企业物理场地、门禁、物理安全措施的安全控制管理流程 安全检查管理：企业定期安全检查计划、记录、报告等管理流程 安全培训管理：企业内部人员安全培训申请、计划、实施、反馈等管理流程  GooAnn-IT 管控软件管控软件白皮书白皮书 10 / 14 模块模块特色：特色： 自动化工作流引擎：基于管理软件常用的功能和基础要素进行抽象，包括用户类、权限类、消息类、工作流引擎等，满足企业各种安全管理流程等。

行业安全管理经验：根据多年安全咨询经验总结，结合各行业组织管理与文化，预定义各种安全管理流程，保障流程的有效实施 灵活的二次开发：由于采用完全自主的工作流程开发平台，适合各类企业各种流程的二次开发 安全知识管理模块安全知识管理模块————GooAwareness 模块模块简介：简介： 安全体系的有效运行离不开员工安全意识与安全知识的培养GooAwareness 就是一个有助于 IT 风险相关知识的收集、组织和在公司内部员工之间传播的信息安全与 IT 风险知识管理技术集合，核心是网络技术与知识仓库，能够对异质系统中的知识进行无缝检索，并通过 Web 浏览器或其他方便的方式向用户提供知识，提升全员风险意识与工作效率 模块模块功能：功能： GooAwareness 安全知识管理软件包括内部知识库、外部资料库、标准与法规、常用模板、知识地图、个人知识库等系统整理了所有安全相关的标准与法规、安全管理知识、安全技术知识、安全产品资料、安全漏洞通告、安全案件分析、企业安全规章制度与文档资料等，增强了安全知识管理的效果，员工通过知识管理系统，将大大提升安全意识，保障安全体系的有效运行 模块模块特色：特色： 全面详实的资料库：软件提供了所有安全相关的知识与资料，包括法律法规、技术资料、管理经验等。

图文并茂的案例库：精选安全相关案例分析，强化员工安全意识，提升员工安全水平 分权限的管理系统：根据资料的敏感性级别，分权限供员工查阅，保障了资料库的安全性  GooAnn-IT 管控软件管控软件白皮书白皮书 11 / 14 八、ITRM 产品特点 行业知识库：行业知识库：提供完整的行业知识库支持，并且对知识库进行持续更新；知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等，目前支持电信、银行、保险、证券、能源、电力、政府和软件等行业 遵从法案要求遵从法案要求：紧密结合企业信息安全与内部控制要求，遵从ISO27001、等级保护、COBIT等标准，引导公司信息安全与IT控制工作，协助信息安全与内部控制体系建立，并管理文档记录、测评、评估、改进、测试等阶段的工作； 统一控制框架统一控制框架： 采取Unified Control Framework设计，可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩，并可通过全面的可配置性和可扩展性应用到知识库中； 操作简单安全操作简单安全：基于 B/S 架构，通过浏览器的轻松灵活的使用、导航界面，能够根据组织要求调节界面外观， 基于角色授权指派相关人士负责控制工作， 轻松添加各种控制与遵从标准版本(等级保护、 CMM、 Prince2等)，支持本机 Excel 电子数据表输入。

产品稳定产品稳定成熟成熟：GooAnnGooAnn 是国内唯一进入全面 IT 风险管理与内部控制系统软件领域的厂商，ITRM 产品的最新版本为 2.0，并于年底前推出 3.0 版本； 九、系统架构与运行环境 IT控制体系项目信息库基本信息收集IT风险控制运营管理IT风险控制体系建设风险分析与风险处置IT控制调查确定IT风险控制范围IT风险控制审计管理内部或外部控制要求部门业务流程系统IT资源IT风险控制知识库检测记录控制对象列表风险及差距控制措施各类建设报告控制体系文档COSO控制知识库模型库指标库Cobit控制知识库BS7799控制知识库等级保护控制知识库……ITRM System业务架构知识库管理系统管理系统库 ITRMITRM 系统体系架构图系统体系架构图  GooAnn-IT 管控软件管控软件白皮书白皮书 12 / 14 系统开发环境系统开发环境 分类分类 描述描述 系统平台 Windows 数据库系统 SQL Server 2003 应用服务器 Tomcat 5 开发语言 Java；Java Script 开发工具 Eclipse 3.1.2 Java 环境 Sun JDK1.4.2 for windows Java 开发框架 Spring、Struts、Hibernate 系统运行环境系统运行环境 服务器服务器 服务器: Intel PIV 2G 以上服务器 内存: 2GB 以上 磁盘空间: 10GB 以上 操作系统支持: Windows 2003，Linux (CentOS 4) 数据库数据库 SQL Server 2003，Oracle，Mysql 4, 5 客户端客户端 PIII 以上计算机，1GB 内存 IE 5.5 或更高版本  GooAnn-IT 管控软件管控软件白皮书白皮书 13 / 14 十、联系我们 北京谷安天下科技有限公司北京谷安天下科技有限公司 地 址：北京海淀区中关村南大街2号数码大厦A座2906 联系我们：(8610)-51626887 传 真：(8610)-51626975 网 址： 电子邮件：market@ 。