政策背景:2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称“等保2.0”),针对设备以及计算安全类别第三级中明确要求需要加强对政企内部安全的管控,需对用户身份具有二次鉴别能力。并于2019年12月1日开始实施,标志着对于信息安全的要求已经上升到国家防控战略层面,未来对企业信息化安全保护管控也将会越来越严格。
项目概述
某燃气公司管网压力监测信息系统、应急处置信息系统、门户信息系统、客户服务信息管理系统这四大核心系统承载着企业的重要业务,系统安全不容忽视。为提高重要信息系统的信息安全保护能力,依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等相关政策要求,御盾科技为其提供整体的信息化安全合规咨询服务及信息系统安全架构的整改建议和方案。
等级保护咨询服务
1.企业现状评估
根据客户的系统建设及内部管理状况,对其进行全面评估,并出具等保评估报告,为后续的定义等保级别、设计整改方案提供支撑依据。
2.定义等保级别
根据评估报告,结合国家对等保的要求及规定,确定客户管网压力监测信息系统、应急处置信息系统的安全保护等级为第二级,门户信息系统、客户服务信息管理系统的安全保护等级为第三级。
3.协助备案审查
指导和协助客户收集、整理、准备备案审查过程中所要求的各类资料和文档,加快备案审查进度,促成最终备案证书落地。
4.模拟等保测评
备案审查通过后,由御盾专业团队根据等级保护标准对客户管网压力监测信息系统、应急处置信息系统、门户信息系统、客户服务信息管理系统进行安全技术与安全管理两大部分中的十多个类别进行模拟测评与分析,并形成测评报告。
5.设计整改方案
根据评估报告和模拟测评报告,对客户的等保整改建设进行全面规划设计,并出具整改建设方案。
6.落实整改事项
依据整改建设方案,对每项整改事项逐一分解并落实具体整改工作,有序保障整个整改工作的稳步推进。
7.辅助等保测评
将整改后的结果提交测评机构进行等保测评,全程跟进处理过程中所需资料及要求,确保最终测评工作顺利完成。
8.后期持续运维
等保测评通过后的持续运行维护。
等级保护安全管理指导
1.安全管理机构
梳理安全管理职能流程,协助建立管理机制。
2.安全管理制度
协助补充完善公司安全管理制度,明确落实安全人员的工作职责。
3.人员管理培训
1)协助制定公司《信息系统人员管理制度》。
2)定期组织公司信息系统相关人员的安全意识培训、安全技能培训。
3)加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给公司带来的安全风险。
4.系统建设管理
协助制定《网络与信息系统安全设计规范》、《IT产品采购管理制度》、《软件开发管理规范》等系统建设管理制度并贯彻落实。
5.系统运维管理
协助制定《办公环境保密管理制度》、《资产安全管理制度》、《设备安全管理制度》等系统维护管理制度并贯彻落实。
服务价值体现
本次等保合规咨询服务包含:系统定级评定、测评准备、材料报告编制、协助测评、分析及报告编制等服务环节,双方之间的沟通与讨论贯穿了整个服务过程。本次服务收获的价值点如下:
1.资产梳理、安全隐患排查:通过信息安全等级保护评估可以全方位梳理业务流程,并且根据定级系统划出明确的系统边界,对系统使用的服务器、交换机、防火墙、操作系统、数据库、应用系统等进行了有效梳理,梳理出较为全面的资产配置信息以及存在的信息安全隐患。
2.确立执行标准,有章可循:通过信息安全测评、整改,对企业信息资产的配置进行全面梳理,将配置进行重新调整,由之前的随意配置变为按照标准执行,在管理方面也根据等级保护的要求对管理制度进行了重新调整,执行相关标准。
3.形成企业安全合规报告:网络安全定级报告;等级保护测评报告;网络安全等级保护整改评估报告。
来源:freebuf.com 2021-05-24 16:07:36 by: yudun2019
请登录后发表评论
注册