信息安全内控度量体系介绍

信息安全内控度量体系实施

服务工作陈述

SoW for Information Security Internal Control Metrics System

Implementation Service

Version 1.1

上海安言信息技术有限公司

2009年7月

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海安言信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

版本信息

文档名称信息安全内控度量体系建设服务工作陈述

文档管理编号

保密级别商密文档版本号 1.2

编写人

审核人

适用范围

本文档为上海安言信息技术有限公司（以下简称安言咨询）编写的信息安全内控度量体系实施的咨询服务工作陈述，适用于信息安全度量项目的前期规划。

保密说明

本文件中所包含的资料对于上海安言信息技术有限公司来说是保密的。上海安言信息技术有限公司将此文件提交给客户是基于以下的理解：

接受本文件即表示同意对其内容严格保密，不去泄漏；

在事先未经上海安言信息技术有限公司同意时，不得复制、泄露或散布本文件，文件的全部或其中的任何部分均不会被用于任何用途。

这些限制仅出于商务考虑，对于在客户和上海安言信息技术有限公司之间正在进行的业务讨论不构成任何限制。

本文件仅提交给客户参阅，有关内容如泄露给外来者会带来严重的安全隐患。相关客户应慎重考虑并限制本文件内容在企业内部的流传，特别注意不应该把内容泄露给合作伙伴或其他供货商。

版本信息 (2)

适用范围 (2)

保密说明 (2)

1.信息安全内控度量的定义 (4)

1.1什么是度量 (4)

1.2什么是信息安全内控度量 (4)

2.信息安全内控度量体系建设意义 (4)

2.1 度量的优势 (4)

2.2 度量的必要性 (5)

2.3 度量和审计的差异与关联 (5)

3.实施方法论和依据 (5)

3.1 信息安全内控度量体系理论支持 (5)

3.2 内控度量的ＰＤＣＡ (6)

3.3 安言的PROC方法论 (6)

3.4 信息安全内控度量体系设计依据 (8)

4.信息安全度量项目的交付物 (8)

4.1 规划设计 (9)

4.2 总体框架 (9)

4.3 操作手册 (9)

4.4 工具模板类 (10)

4.5 培训 (10)

5.信息安全内控度量体系建设前提和后续考虑 (11)

5.1信息安全内控度量实施前提 (11)

5.3信息安全内控度量实施后续 (11)

6.安言咨询简介 (12)

6.1 公司概况 (12)

6.2 人员资质 (12)

6.3 项目实施优势 (13)

6.3.1 专业化的团队，国际化的视野 (13)

6.3.2 顾问式培训贯穿项目实施全程 (13)

6.3.3 丰富的项目实施经验 (13)

6.3.4 强有力的合作伙伴 (14)

6.4 典型案例 (14)

1.信息安全内控度量的定义

1.1什么是度量

在物理和数学领域，度量的定义为“用拓扑空间的二值函数，给出空间中任意两点之间距离的值，或者是用于分析的距离的近似值。”我们可以认为，“几乎任何量化问题空间并得出值的情况，都可能看作是度量”。传统的企业管理领域有一条准则——不能测量的东西就不能管理；这条准则也同样适用于信息安全管理领域。

1.2什么是信息安全内控度量

行业的实践经验表明，企业在完成了网络安全架构和安全管理建设的基础建设之后，常常会遇上安全管理落地难、检查难的问题。安全内控度量则是针对此问题的解决方案。

信息安全内控度量可以理解为在企业内部信息安全管理中通过采用系统的、量化的、有效的手段对信息安全管理的现状进行测量和评价，从而发现潜在的安全控制弱点，切实推动安全管理规范的落地，持续提升组织的信息安全管理水平。

2.信息安全内控度量体系建设意义

2.1 度量的优势

以往对信息安全管理情况的评价大多采用定性评价，定性评价的优点在于能够对无法量化的制度建设、流程控制、日常操作等方面进行一个较为客观的评价，但定性评价的缺点也很明显，由于无法对评价结果进行量化，只能人为的对评价结果进行大致分级，这就有可能因为评价者自身的不足影响评价的客观性和准确性。信息安全内控度量正是要解决这种问题，通过大量可量化的、具有代表性的指标对信息安全管理情况进行量化的分析和评价。

2.2 度量的必要性

2.3 度量和审计的差异与关联比较项

审计度量发起方

内部／外部内部关注重点

合规性包括但不限于合规性活动持续时间

阶段周期／持续评价方式

定性为主定量为主产出物

审计报告安全管理绩效

3. 实施方法论和依据

3.1 信息安全内控度量体系理论支持

任何体系的构建都需要相应的标准及理论支持，信息安全度量作为评价信息安全管理的重要手段之一也不例外，国际上已经有了一些较为成熟的体系及标准为度量体系的建设提供支持，Cobit 和ISO27004就是最为典型的2个。作为IT 治理框架，Cobit 提供了一个IT

管

实施信息安全度量的必要性

发现各类潜在问题

发现信息安全管理现

状中存在的各种问题

及潜在风险，并提出

相关的解决建议，最

终确保管理制度体现

安全管理需求、日常

操作实现安全管控、通过建立并实施信息安全度量体系，采用量化、直观方式对安量化评价安全管理绩效推动信息安全管理规范落地，持续不断的改进信息安全工作

确保安全管理持续改进

理框架以及配套的支撑工具集，这些都是为了帮助管理者通过IT过程管理IT资源实现IT 目标满足业务需求。Cobit建立了一个包含7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标的IT管理框架，通过控制度、度量、标准三个纬度来度量IT过程能力。ISO27004作为ISO27***系列中的一个重要组成部分，对信息安全度量目标、度量项、度量过程、度量值乃至度量实施都给出了指引。

3.2 内控度量的PDCA

PDCA就是业界公认的信息安全管理方法论，遵循计划（Plan）、实施（Do）、检查（Check）、改进（Action）相结合的闭环机制，可以有效的为各类安全管理活动提供支持。如下图所示，采用PDCA的循环机制，通过度量体系设计、度量实施、度量结果分析、输出、度量改进这四大环节，可以建立持续改进的信息安全管理机制。

3.3 安言的PROC方法论

作为信息安全咨询提供者，安言咨询在以ISO27001认证为代表的信息安全管理体系建设方面经历了长期的实践，积累了丰富的经验。在帮助企业建立符合自身需求的信息安全内控度量体系上，安言咨询的方法论体现为PROC过程模型，这个过程模型是对经典的PDCA 管理模式的具体实现，更具有针对性和可实施性。

PROC（Preparation，Realization，Operation，Certification）模型如下图所示。

PROC模式将整个信息安全内控度量体系建设项目划分成四个大的阶段，每个阶段又包含相应的工作子项，每项工作均具有前后关联，只要能够按照规划顺利开展各阶段工作，最终就能建立起有效的信息安全内控度量体系，实现信息安全管理工作的客观、量化、有效评价。各阶段具体工作如下：

准备阶段（Preparation）：在准备阶段，项目小组要对信息安全内控度量体系的实施做好预备工作，明确度量体系实施范围，提供相关资源，建立总体的安全管理方

针，进行现状调研，了解并分析信息安全现状，明确风险问题和由此带来的具体需

求。这一阶段包括以下三项关键活动：

?项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。

?现状调研：初步了解信息安全管理现状，分析现状与期望实现的目标之间的差距。

?现状分析：访谈调查，发掘信息安全问题，进行业务影响分析。

实现阶段（Realization）：在实现阶段，项目小组要组织相关资源，依据前期现状调研和现状分析结果开展度量体系设计和实现工作，为好计划，同时编写、测试、

修订并完善内控度量体系运行所需各类文件。此阶段包括四项关键活动：

?框架设计：针对调研和现状分析结果，设计内控度量体系的总体框架。

?细化设计：设计各项具体度量指标，多次Review及修订，客户方讨论确认。

?工具设计：针对前期调研和细化设计需要，设计度量结果分析工具、度量检查实施记录表等工具。

?计划编排：协助客户方编排并确定每年的度量检查计划。

运行阶段（Operation）：信息安全内控度量体系建立起来之后，要通过一定时间的试运行来检验其有效性和可操作性性。在此阶段，应该培训专门人员，建立起内部

度量机制，通过例行检查、专项检查等各类检查活动，来检查已建立的度量体系是

否符合企业评估自身安全管理的要求。此阶段的关键活动有四项：

?度量培训：对参与度量的客户方人员实施培训。

?试点运行：选取部分或全部度量指标，开展度量试点，检验度量体系有效性和可操作性。

?分析总结：根据试点运行结果，分析度量体系中存在的不足，同时征求客户方对于度量体系的相关意见和建议。

?修订完善：根据试点运行结果，对度量体系相关交付物进行Review和修订。

验证阶段（Certification）：经过一定时间运行，内控度量体系达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行项目验收。此阶段的关键活动

就是为验收的相关工作做好准备：

?验收准备：准备验收文件，安排部署相关事项，检查缺失进行弥补。

?验收交付：由管理层对信息安全内控度量体系进行验收，并在验收通过后正式投入运行。

四个阶段的13项关键活动，基本上是顺序开展的，其中的培训活动，则可以与其他活动并列进行。

3.4 信息安全内控度量体系设计依据

度量体系的设计需要参考企业内部和外部管理要求，行业标准、法律法规、监管机构发文等都可以作为参考，一般包含以下三类文件：

?内部安全制度：企业内部发布的各类安全管理制度

?国内法律法规及监管机构要求：各类国家标准（GB50174-2000、等级保护等）、《银行业金融机构信息科技风险管理指引》等

?国际标准、行业最佳实践：ISO27001、ISO27002、ISO 27004、Cobit、ITIL等4.信息安全度量项目的交付物

下图所示四类文件及培训共同组成了信息安全度量体系的交付物

4.1 规划设计

在完成项目需求确认及项目调研分析后提交的以项目设计方案为主的文件，设计方案中包含了整个体系的设计思想、考虑的各项因素、参考依据、总体设计框架等内容。设计方案是度量体系设计实施的总体原则，后续的各类交付物都将依据设计方案进行细化和完善。

4.2 总体框架

该类文档主要为《度量体系指标总表》。

《度量体系指标总表》是整个体系交付物中最重要的交付文件之一，指标总表包含了度量体系中所包含的所有具体度量指标，指标总表直接体现了度量体系的设计原则和指导思想，并且该表也是今后开展度量工作时具有指导意义的文件。客户可以根据需求在指标总表中快速检索各项具体指标的主要内容，也可根据需要从中抽取相应指标作为单次检查的具体检查内容。

4.3 操作手册

该类交付物主要为《度量体系使用手册》

为了便于度量体系正式投入使用后能够方便、熟练、高效的开展度量工作，度量体系的交付物中还包括了《度量体系使用手册》，手册内对每项指标的具体使用进行了说明，从单项指标的关注重点、检查输入到具体度量检查时所使用的方法（访谈、测试、观察等）都进行了详细说明。

设计

框架

手册板类

4.4 工具模板类

该类交付物主要包括度量结果分析工具、各类辅助说明文档等开展度量检查所需的工具及过程文件模板。

度量结果分析工具使用简洁、友好的界面，只需输入度量评分结果，即可形成相关的图表，方便安全管理人员直观的了解安全管理的现状，通过观察相关图表，可以了解信息安全各个领域的现状，还可根据图表所展示的内容，有针对性的改进各项工作。

除度量结果分析工具外，还将根据客户实施信息安全内控检查的需要，为客户定制度量底稿。该文件可根据每次检查需要进行更新，主要内容包括当期度量检查内容（相关度量指标）、评分标准、检查发现等，方便检查人员根据度量目标有针对性的开展实际检查工作。

此类交付物主要为随着内控度量开展而准备的各类培训文档，主要为各类项目培训材料，包括安全意识培训材料、度量技能培训材料等。

为了方便在体系设计完成后对客户方人员，尤其是今后开展度量实施的人员进行培训，项目组成员将根据客户方安全管理人员的实际情况以及关注的重点，有针对性的制作信息安全度量体系的培训材料，材料中将对度量体系的设计思想、使用方法、度量注意事项等进行详细的说明，确保相关人员在经过培训对度量有直观、深刻的理解和认识。

根据项目实际情况，还将编写信息安全内控度量体系使用说明文档，这些文档主要包含度量评分规则、度量指标编码规则、指标抽样规则及其它与度量体系密切相关的文档，这些文档可以根据客户需要单独编写，也可以集中归并到体系使用说明之中，与上述五类文档共同信息安全度量体系的完整交付物。

4.5 培训

随着度量体系建设的实施，将在项目实施过程中穿插相关培训。

指标得分汇总图

94%125%22

10%82

36%

5223%51

22%012345控制域得分汇总图697264907047727178767375010

90A.04 A.05 A.06A.07A.08A.09A.10A.11A.12A.13A.14 A.15

5.信息安全内控度量体系建设前提和后续考虑

5.1信息安全内控度量实施前提

?管理层重视和支持

度量工作涉及到对各部门的检查和考核，需要得到企业管理层的大力支持，在此基础上，可以确保相关工作高效、持续的落实，具体工作实施也将在管理层的支持下得到顺利开展，并确保度量体系建设及今后的实施过程中得到足够的资源支持。

?健全的信息安全管理制度

由于度量工作主要是对现有制度的执行情况以及日常工作中涉及安全管理部分内容的检查分析，信息安全管理制度的建设是否成熟就显得尤为重要。既要有相关的管理办法，也要有具体的操作、实施细则，只有建立层级化的制度体系，才能有效对信息安全管理提供制度支持。成熟的管理制度体系可以为度量工作提供充分的检查依据及相关的检查输入。

?技术支持体系

由于度量工作的开展需要大量信息的输入，这些输入信息都是度量体系的评价基准，只有根据大量真实客观的信息，才能有效评估企业信息安全管理现状，才能发现存在的问题与不足。这些信息既包括人工采集的信息，也包含通过系统、设备采集的信息，后者尤为重要。

?各部门协调配合

信息安全管理涉及企业信息管理的方方面面，需要企业内各部门积极配合内控度量体系的建设及后续度量工作的开展，唯有各部门之间相互协作、紧密配合，才能确保度量工作高效、顺利、持续的开展。

5.3信息安全内控度量实施后续

?度量体系持续完善

结合企业信息安全管理现状、外部需求及行业发展情况，定期对度量体系的适用性和可行性进行评审，并根据评审结果对度量体系进行完善，确保度量体系符合企业发展要求。

?形成安全建设需求，推动安全技术项目实施

以改善企业信息管理为契机，以信息安全度量为抓手，逐步实现度量工作自动化，并依据度量分析结果挖掘并形成企业信息安全建设需求，并籍此推动各类安全技术项目的实施，提升企业整体信息安全管理水平。

6.安言咨询简介

6.1 公司概况

信息社会的发展离不开安全护航，而安全能力的提高又有赖于整体有效的管理，管理发展并非朝夕之功，专业化的咨询服务可助其一臂之力。安言咨询，正是您的最佳助力。

上海安言信息技术有限公司（Aryasec），是一家从事信息安全咨询服务的专业化的公司。本公司是在多年的领域探索和资源积累的基础上，在国内IT管理意识最为开放的上海生根崛起的。公司致力于兼收并蓄国际上最先进的信息安全和IT服务管理理念，并结合国内行业自身特点，以独立咨询的客观立场，为行业客户提供量身定做并且符合国际标准要求的信息安全解决方案。

安言咨询凭借多年经营积累起来的信息安全培训体系和咨询服务体系，以充足而完备的内容和资源，将ISO27001/BS7799、ISO20000/BS15000、ISO13335、SSE-CMM、ITIL、CoBit 等最佳实践的精髓恰当地移植给企业客户，充分发掘企业真正的需求，提升企业信息安全整体意识，增强相关人员的技术技能，巩固和完善企业信息安全管理体系，开拓IT服务管理的眼界和思维，建立稳妥的业务持续性计划，使信息安全和IT服务真正成为企业整体发展的助动之力。

安言咨询由众多极富专业经验和顶尖资质的精英人才凝聚而成，拥有多年电信、金融、制造、政府等行业的从业背景，持有包括CISSP、CISA、ISO27001LA/BS7799LA、ITIL、CCIE等在内的众多信息管理或技术领域顶级资质。与此同时，公司还与包括IBM、HP、CA、Bearpoint、BSI、（ISC）2、ISACA、上海交通大学、中科院、复旦大学、同济大学等国内外著名机构保持紧密的合作关系，相信借助我们长期积累的经验和先进的理念，并通过不懈而严谨的努力，定能为客户开启信息安全管理和IT服务管理的胜利之门。

此外，安言咨询充分发挥多年资源积累的优势，建立了国内独一的信息安全领域高级人才储备，以准确的定位和敏锐的判断，为各大机构和企事业单位提供高级人才接口咨询服务。

我们信奉的理念是：以行业标准为依托，以客户需求为导向，以互动咨询为过程，以专业技术为手段，帮助客户建立有效、稳定、持久并不断发展的信息安全管理体系。

我们的目标是成为国内最专业最高端的信息安全咨询服务提供商。

6.2 人员资质

安言咨询，是由诸多拥有顶级资质证书的精英人才凝聚而成的，这些资质包括：

CISSP（Certified Information System Security Professional），国际上公认的信息安全专家证书；

BS7799/ISO27001LA（BS7799/ISO27001标准主任审核员）；

CISA（Certified Information System Auditor），国际上公认的IT审计专家证书；

CISM（Certified Information Security Manager），国际上公认的信息安全经理人证书；

ITIL Foundation（IT服务管理专家资质）；

CISP （我国信息安全专业认证）

CCSP，ISE，CCSA/CCSE等国际厂商的专业信息安全认证。

CCIE，MCSE，OCP等网络、系统、数据库等专业技术认证

6.3 项目实施优势

6.3.1 专业化的团队，国际化的视野

z安言咨询由一批高素质、专业化的骨干力量凝聚而成，顾问人员都具备扎实的专业技能、优秀的行业背景和丰富的项目实施经验，同时具备诸多国际上最为认可的高

级资质，包括CISSP、ISO27001LA/BS7799LA、ITIL实施证书、CISA、CISM等。

z安言咨询着眼于关注、吸收和引进国际上最受推崇的信息安全和IT服务管理最佳实践，是国内最早致力于以BS7799/ISO27001标准认证为代表的信息安全管理体

系建设的专业机构之一。

z安言咨询很好地把信息安全领域的专业技术及实践经验与以业务为驱动的管理咨询方法及体系实施特点有机结合在一起，即能够深入到细节，又能够站在很高层次

上全面而系统地看待问题，这和传统的以技术和产品为主的安全服务截然不同，也

弥补了传统管理咨询服务专业化不足的缺陷。

6.3.2 顾问式培训贯穿项目实施全程

z安言咨询一大特长就是可以为组织提供量身定做的全面的信息安全专业培训，特别是信息安全管理培训。

z安言咨询提供的培训内容完全基于自身长期的积累和经验总结，同时能够结合组织特定的需求，在ISO27001认证项目实施的整个过程中，我们会贯穿具有不同针对

性的培训内容，主要包括：信息安全管理基础培训、信息安全内控度量体系专项培

训等。

z安言咨询在提供培训时，并不是简单的复制，而需要切实引导并了解组织的需求，根据组织的特点来定制内容，这与课程实施者的专业能力有着直接的关系，我们称

之为顾问式培训。

6.3.3 丰富的项目实施经验

z安言咨询从2002年开始，就一直在信息安全管理咨询方面为国内诸多知名企业提供支持，先后实施过多起BS7799/ISO27001认证及相关项目，积累了丰富的实施

经验，也赢得了普遍的好评和信任。

z安言咨询在每次项目实施过程中，都会根据客户实际需要，引入一些最切合实际而又最富针对性的解决方案，并且充分提升和利用管理流程及方法，避免客户因为盲

目引进技术产品而浪费资金和人力，真正将咨询服务的理念树立了起来，这在仍然

以技术和产品为核心的国内信息安全业界是很难得的。

6.3.4 强有力的合作伙伴

z安言咨询一直以来都是定位在专业的信息安全资源提供方，在很多领域与国际知名机构展开合作，包括IBM、HP、Sun、毕博等。因为安言咨询一直遵循的是最符合

国际惯例和规范的咨询方法论，所以与各大国际知名的服务提供商有着相近理念，

安言咨询在信息安全领域的实施能力和资历一直是被合作伙伴充分信赖的。

z安言咨询与国内外的信息安全产品与解决方案提供商保持着良好的沟通，了解业界最新的技术动态和最新的成果，同时安言咨询也担任国内多家著名安全公司的安全

管理咨询指导工作。

6.4 典型案例

作为专业的信息安全咨询服务提供商，在过去的几年里（特别是近两年），安言咨询先后以主导方或辅助力量参与实施了多项具有代表性的信息安全服务项目，凭借安言咨询以培训为保障、以标准为依托、以技术为后盾、以客户为主导的服务路线，这些项目都取得了不错的进展，为安言咨询赢得了优良的口碑。

这里列举的是一些具有代表性的项目案例。

交通银行总行数据中心信息安全咨询项目：交通银行总行数据中心作为交通银行全行信息系统生产运行的核心部门，需要对自身信息安全管理工作实现有效评价。

安言咨询协助数据中心安全部建设并实施信息安全度量体系，该项目持续一年，在

安言项目组成员的努力下，交付了信息安全度量体系成果（包含200项目度量指标、20多万字的度量指导手册、图形化分析工具及大量辅助文档），目前已完成体系建

设并转入运行阶段。

交通银行 ISO27001认证咨询项目：交通银行是国内大型国有股份制商业银行之一。从2008年4月开始启动ISO27001认证项目，安言咨询帮助其先后经历了风

险评估、文件编写、体系实施推行、内部审核等过程，该项目2008年11月正式接

受并通过了DNV的最终审核，并获得了ISO27001证书。

深圳艾默生网络能源ISO27001认证咨询项目：2006年2月起，安言咨询与毕博GDC合作，为深圳艾默生网络能源有限公司提供ISMS建设及ISO27001认证咨询

服务，该项目持续一年时间，目前已经完成了体系建设并转入运行阶段。

北京电信IDCISO27001认证咨询项目：2006年5月－11月，安言咨询与IBM展开合作，为北京电信数据中心（IDC）提供ISMS建设及ISO27001认证咨询服务，目前该项目已经通过BSI实施的正式审核。

深圳桑菲消费电子ISMS建设项目：2006年5月－11月，安言咨询与CA展开合作，为深圳桑菲提供ISMS建设咨询服务，目前该项目已经完成，并接受了DNV

的初步审核。

深圳卓望科技信息安全评估项目：2006年6月，安言咨询为深圳卓望提供了有效的信息安全差距分析和现状评估服务，并帮助其制定了后续信息安全工作的目标规划和实施计划。

深圳大行车业ISMS建设项目：2006年4月到9月，安言咨询为深圳大行车业有限公司提供了ISMS建设项目，通过差距分析、现状调查、风险评估和文件编写，初步建立起有效的ISMS，目前正在运行。

山东建行ISO27001认证咨询项目：2006年5月－12月，安言咨询为山东建行实施了ISMS建设及ISO27001认证咨询服务，帮助其通过PROC过程建立ISMS并转入运行。

深圳腾讯ERP系统运维安全流程建设项目：2006年6月，安言咨询为深圳腾讯提供了针对其ERP系统上线运行之后的运维管理流程建设的咨询服务，通过对现状的调查和问题的分析，建立运维角色，明确职责分配，制定有效流程，最终使得ERP系统运维得到可靠保障。

中国网通河南通信公司郑州分公司网络安全评估项目：安言咨询为河南网通实施过全面的网络安全评估服务，该项目内容包括：安全策略评估、网络整体架构评估、技术性评估等。

云南联通信息安全管理体系建设服务项目：安言咨询会同冠群金辰，共同为云南联通实施了旨在通过BS7799认证的信息安全管理体系评估与建设服务，服务内容包括资产评估、威胁评估、技术性和管理性弱点等。

先进半导体BS7799认证咨询项目：上海先进半导体制造有限公司（ASMC），是位于上海张江高科技园区的一家著名的芯片制造企业。该公司于2003年11月启动BS7799认证项目。在这个项目当中，安言咨询为ASMC提供了全程培训和顾问支持。在ASMC主导实施的基础上，安言咨询参与了包括风险评估、策略体系文件的编写、内部审核、后期整改等关键的阶段性活动。目前，先进半导体ISMS实施已成功结束，顺利通过了DNV的认证审核。

深圳清溢BS7799认证咨询项目：安言咨询顾问人员作为个人身份参与实施。

东亚银行信息安全风险评估项目：安言咨询顾问曾为东亚银行（上海）提供过全面的信息安全风险评估服务，评估依据是BS7799和金融行业规范要求。

其他信息安全服务项目还包括：

上海贝尔阿尔卡特研发中心网络系统安全评估服务；

中国金融认证中心（CFCA）网络系统安全服务；

CNNIC网络系统安全扫描测试服务；

中国海洋石油总公司（CNOOC）网络系统安全评估服务；

中国一汽网络系统安全评估服务；

华夏银行（北京）网络系统安全测试服务；

中国吉通结算网络系统安全测试服务；

中国石化总公司网络系统安全测试服务。