atsec歷史
艾特賽克信息安全(atsec information security)是一家獨立且基於標準的信息技術(IT:Information
Technology)安全諮詢和評估服務公司,它很好地將商業導向的信息安全方法和深入的技術知識以及全球的經驗相結合。公司於2000年1月由三位國際知名的安全專家Helmut Kurth、Sal La Pietra和Staffan Persson創辦而成。對IT安全領域充滿激情的創辦者們對成功地提供專注的IT安全服務非常自信,他們已經投入了新的資金致力於鍾愛的事業。
atsec創辦者從左到右分別為德國人(Kurth)、義大利人(La Pietra)和瑞典人(Persson),所以公司創辦之初就意味著公司向著跨國公司發展!
atsec 業務開始於一個獨立的小規模項目,該項目為Vodafone提供IT安全諮詢服務,從而公司很快成長,六年內吸引了許多世界大型IT領域公司(包括IBM、惠普和Vodafone)。
除了地域上的發展,公司對於IT安全需求範圍的理解,以及如何滿足安全需求,這些理念也在不斷加深和發展。
atsec原則
我們熟知從事的業務atsec深切地了解所從事的信息安全諮詢領域。通過跨國的組織結構,我們感到國際性的業務運作是atsec與生俱來的優勢。我們是一個全球化範圍的公司。
我們貴在誠信信息安全諮詢和評估是一個高度正直嚴謹的工作,並且需要高度誠信。我們所有的員工都堅持與客戶保持最高等級的誠信關係。我們致力於及時高效地提供最高質量的服務。
我們保持專一atsec諮詢顧問均為信息安全諮詢顧問。由此atsec注定專一地從事信息安全諮詢領域。我們不做其他任何領域的諮詢,我們也不會從事軟硬體或任何其他產品的銷售。
我們是獨立的atsec是一家自有員工的公司。我們不隸屬於任何硬體或者軟體廠商,而且今後也決不會如此。我們作為諮詢顧問的誠信度依靠於我們的獨立運作模式。我們的客戶能夠絕對地信賴我們完成所既定的目標。我們沒有興趣做任何產品的銷售,只是專心致力於安全專家服務。
atsec業務
PCI:
5個創始成員(美國運通American Express、Discover Financial Services、JCB、萬事達MasterCard Worldwide 和 Visa International)均同意將PCI DSS引入作為他們每個數據安全符合性流程的技術要求。每個創始成員同時認可由PCI安全標準委員會授權的QSA和ASV執行的針對PCI DSS驗證符合性。
FIPS 140-2:
如果您計畫銷售包括密碼模組的產品到使用密碼系統保護計算機或者通信系統中的敏感數據的美國聯邦政府機構,該產品就必須要強制性的遵循FIPS 140-2認證。此外,其他行業(例如,銀行業)中密碼模組的FIPS 140-2認證的價值也越來也高,因為基於密碼解決方案保護敏感的數據是至關重要的。atsec非常願意成為您的合作夥伴,幫助您了解該標準的需求,為您的產品通過FIPS 140-2做準備評估,或執行密碼模組產品的正式合規評測從而為您的密碼產品獲得證書。
CC:
使用國際認可、標準化的準則進行技術組件和產品的評估,使各公司客觀地呈現安全功能的可靠性。
通用評估準則(CC:Common Criteria)和國際認可的ISO標準( ISO/IEC 15408 ),被各國政府和其他組織用於評估信息技術產品的安全性和保障能力。cc標準提供了統一的方式表達安全需求,並定義了一整套嚴格的準則,其中產品的安全層面(比如:開發環境,安全功能和安全脆弱性處理)可以得到有效的評估。
滲透測試:
許多公司使用 ISO/IEC 27002 或者PCI DSS 作為信息安全控制內部審計的基礎,以滿足BS 7799、
ISO/IEC 27001、FISMA、HIPAA、Sarbanes Oxley 和 PCI評估要求。
掃描和滲透測試經常被指定為主動的方式來評估你的安全狀態。找到合格的內部專家提供掃描和滲透測試服務是比較困難的。採用atsec基於專業和誠信獲得這項工作的外部諮詢顧問,可以針對您內部所部署的行業最佳實踐控制的有效性,提供獨立的第三方分析。
atsec一般服務描述
atsec擁有諸多的成功案例,為客戶的質量和安全的提高做出了不可磨滅的貢獻,並且超過了客戶的預期效果。atsec測評實驗室和服務經過了ISO/IEC 17025、ISO/IEC 27001、ISO 9001等標準和規範的認證和/或認可。
atsec成功地與很多大型機構合作建立、完善並實施管理體系,使其有效整合和符合ISO/IEC 27001和27002的信息安全管理、基於ISO/IEC 20000的IT服務管理、基於ISO 31000和ISO/IEC 27005的風險管理、基於ISO 9001的質量管理,以及更多。atsec諮詢顧問已經指導很多的客戶成功地完成審計和評估。
atsec擁有完整的ISMS方法論,包括ISMS Toolkit、風險評估方法和工具、審計工具等,這些將直接貢獻於為客戶提供的諮詢服務之中。基於atsec全球的方法論和atsec中國本土專家團隊的豐富經驗,atsec可以為客戶提供高質量的信息安全諮詢服務。
atsec具有豐富的經驗提供代碼的安全性審查,以及掃描和滲透測試服務。atsec特別提供針對大型主機(mainframe)作業系統的深入滲透測試,挖掘錯誤配置和程式缺陷上安全隱患。
atsec是針對支付卡產業數據安全標準(PCI DSS:Payment Card Industry data security Standard)授權的合格安全評估機構(QSA: Qualified Security assessor)和授權掃描服務商(ASV: Approved Scanning Vendor),以及支付套用合格安全評估機構(PA QSA: Payment Application Qualified Security Assessor)。
atsec是美國密碼模組驗證體系(CMVP: Cryptographic Module Validation Program)的測評實驗室,提供包括基於FIPS 140-2標準的密碼模組以及密碼算法的測評服務。atsec也被授權針對SCAP(Security Content Automation Protocol)和GSA Personal Identity Verification(FIPS 201) 執行軟體的驗證。
atsec分別在美國、德國和瑞典獲得了認證機構授權,基於通用評估準則(CC: Common Criteria),也即ISO/IEC 15408開展評估工作。atsec是世界範圍內CC評估領域的領導者,特別在開源軟體,比如諸多Linux版本;複雜的作業系統,比如IBM大型主機z/OS;安全中間件和客戶端/伺服器套用;以及網路和通訊設備等領域。
atsec的客戶包括全球首屈一指的公司如IBM、HP、Oracle、蘋果、微軟、華為、中興、國民技術、握奇數據、民生銀行、東亞銀行、銀聯數據、易寶支付、快錢、捷德、金邦達、恆寶、Cray、寶馬、SGI、Vodafone、Swisscom、RWE和 Wincor-Nixdorf等。他們均選擇了atsec作為長期的信息安全領域的合作夥伴。
培訓
安全標準非常重要,也非常複雜。假如您的組織希望獲得關於某標準的合規性,員工必須理解該標準的基礎、評估過程以及在此過程中他們所擔任的角色。投資開展員工的培訓將有助於您的組織最佳化評估所花費的準備時間。