政策背景
2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称“等保2.0”),针对设备以及计算安全类别第三级中明确要求需要加强对政企内部安全的管控,需对用户身份具有二次鉴别能力。并于2019年12月1日开始实施,标志着对于信息安全的要求已经上升到国家防控战略层面,未来对企业信息化安全保护管控也将会越来越严格。
系统情况
上汽国际EPRO电子采购门户网站系统仅用于处理公司的公司介绍、供应商信息、订单信息、采购信息等相关数据的数据生成、采集、传输、存储及清算等工作,包含公司介绍、采购公告、资料下载、注册指南等功能模块,可保障业务采购信息流通过程的安全和信息存储的安全,承载着企业的重要业务,安全性不容忽视。为提高重要信息系统的信息安全保护能力,依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等相关政策要求,御盾为其提供整体的信息化安全合规咨询服务及信息系统安全架构的整改建议和方案。
等级保护咨询服务
1.企业现状评估
根据客户的系统建设及内部管理状况,对其进行全面评估,并出具等保评估报告,为后续的定义等保级别、设计整改方案提供支撑依据。
2.定义等保级别
根据评估报告,结合国家对等保的要求及规定,确定上汽国际EPRO电子采购门户网站安全保护等级为第二级。
3.协助备案审查
指导和协助客户收集、整理、准备备案审查过程中所要求的各类资料和文档,加快备案审查进度,促成最终备案证书落地。
4.模拟等保测评
备案审查通过后,由御盾专业团队根据等级保护标准对客户EPRO电子采购门户网站安全保护等级进行安全技术与安全管理两大部分中的十多个类别进行模拟测评与分析,并形成测评报告。
5.设计整改方案
根据评估报告和模拟测评报告,对客户的等保整改建设进行全面规划设计,并出具整改建设方案。
6.落实整改事项
依据整改建设方案,对每项整改事项逐一分解并落实具体整改工作,有序保障整个整改工作的稳步推进。
7.辅助等保测评
将整改后的结果提交测评机构进行等保测评,全程跟进处理过程中所需资料及要求,确保最终测评工作顺利完成。
8.后期持续运维
等保测评通过后的持续运行维护。
等级保护安全管理指导
1.安全管理机构
梳理安全管理职能流程,协助建立管理机制。
2.安全管理制度
协助补充完善公司安全管理制度,明确落实安全人员的工作职责。
3.人员管理培训
(1)协助制定公司《信息系统人员管理制度》。
(2)定期组织公司信息系统相关人员的安全意识培训、安全技能培训。
(3)加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给公司带来的安全风险。
4.系统建设管理
协助制定《网络与信息系统安全设计规范》、《IT产品采购管理制度》、《软件开发管理规范》等系统建设管理制度并贯彻落实。
5.系统运维管理
协助制定《办公环境保密管理制度》、《资产安全管理制度》、《设备安全管理制度》等系统维护管理制度并贯彻落实。
服务价值体现
本次等保合规咨询服务包含:系统定级评定、测评准备、材料报告编制、协助测评、分析及报告编制等服务环节,双方之间的沟通与讨论贯穿了整个服务过程。本次服务收获的价值点如下:
1.御盾根据客户系统情况为其提供专业、完整的解决方案,更加贴合等保2.0政策要求,帮助客户顺利实现信息化安全合规,同时提供系统安全架构的整改建议和方案,全方位梳理客户业务流程以及存在的信息安全隐患,降低信息安全风险,提高系统安全防护能力。
2.确立执行标准,有章可循。通过信息安全测评、整改,对企业信息资产的配置进行全面梳理,将配置进行重新调整,由之前的随意配置变为按照标准执行,在管理方面也根据等级保护的要求对管理制度进行了重新调整,执行相关标准,使客户EPRO电子采购门户网站的运维管理变的安全高效。
来源:freebuf.com 2021-06-01 16:27:00 by: yudun2019
请登录后发表评论
注册