• PCI-DSS评估及认证咨询

一、 PCI DSS标准介绍 支付卡行业(Payment Card Industry (PCI))数据安全标准 （Data Security Standard(DSS)） 是一组全面的要求，旨在确保持卡人的信用卡和借记卡信息保持安全，而不管这些信息是在何处以何种方法收集、处理、传输和存储。 　　 PCI DSS 由 PCI 安全标准委员会的创始成员（包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International）制定，旨在鼓励国际上采用一致的数据安全措施。 　PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言，PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表，以及用来保护持卡人数据的其他措施。二、 PCI-DSS要求范围 PCI-DSS安全要求适用于持卡人数据环境中包含或与之连接的所有系统组件。持卡人数据环境（CDE）包含存储、处理或传输持卡人数据或敏感验证数据的人员、流程和技术。系统组件包括网络设备、服务器、计算设备和应用程序，系统组件包括但不限于： 提供安全服务、方便分段或可能影响CDE安全性的系统； 虚拟化组件，...

• 信息安全等级保护

l 什么是信息安全等级保护？从外部环境来看，信息安全已经成为近几年信息化建设的热点话题，如何保障信息系统的安全已经成为国家关注的焦点，从27号文件开始，国家陆续出台了一系列的安全政策和标准，提出了以“适度安全、分级保护”为核心的等级保护建设思路，公安部、保密局、国密办以及国信办陆续出台政策，要求国内重要的信息系统应按照等级保护的办法和要求，进行相关安全防护系统的建设，并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程，提出了具体的管理办法和实施指南，并对信息安全系统提出了技术和管理方面的建设要求。 信息安全等级保护系列标准关系图等级保护实施内容l 信息系统等级保护定级方法l 信息系统等级保护实施方法企业将在下阶段逐步启动安全等级评估、安全体系设计、安全体系建设和安全运维建设等活动，各阶段的主要工作应包括：l 安全等级评估该阶段可由企业信息管理部门牵头，应针对企业信息网络进行安全风险评估服务，完成安全等级评估和安全保障体系的规划工作，具体任务包括：对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。通...