服务概述
等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”。参照《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)及行业等级保护标准要求,协助客户完成信息系统定级备案、安全评估、差距分析、安全整改、等保测评和等级保护培训等工作,确保客户方重要信息系统符合国家和行业关于信息安全等级保护的监管要求,具备足够的信息安全保障能力。
服务内容
定级备案
安全评估
差距分析
安全整改
协助等级测评
等级保护培训
协助客户对信息系统进行定级,初步确定了安全保护等级后,将由上级主管部门对定级结果进行审核和批准,保证定级结果的准确性。对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级报告。随后,将协助客户按要求去公安机关办理定级备案手续,提交备案材料。
采用人员访谈、人工审计、漏洞扫描、渗透测试的方式,从安全管理和安全技术两个方面对客户信息系统进行安全评估,安全管理方面包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面,安全技术方面包括物理安全、网络安全、主机系统安全、应用安全、数据安全五个方面存在的漏洞和弱点进行识别和分析。
将根据安全评估的结果进行差距分析。通过对照检查、人工分析等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距。从安全控制差距分析、系统整体差距分析两个方面确定信息系统安全整改需求,安全控制差距分析又分为安全技术差距分析和安全管理差距分析两大类;系统整体差距分析方面,主要分析信息系统的整体安全性。
形成差距分析之后,将进行安全整改建设,以满足国家等级保护的基本要求,提高客户单位信息系统的安全保障能力和防护水平,维护国家安全、公共利益和社会稳定,促进信息化建设的健康发展。整改建设包括管理安全整改建设和技术安全整改建设两个方面。
在安全整改建设完成后,根据《信息安全等级保护基本要求》、《信息安全等级保护测评指南》,并根据测评机构选取的测评范围、测评对象、测评强度、测评方法,以现场配合的方式来协助客户选定的等级保护测评机构完成等级保护测评工作。尽可能的避免或减少测评工作对客户系统和正常业务开展带来的影响。
除此之外,通过在等级保护多年的经验,以及安全顾问对等级保护的理解,可为客户提供等级保护培训服务,主要内容包括:信息安全等级保护政策培训;信息系统安全等级保护实施过程培训;信息系统安全等级保护定级备案培训;信息系统安全等级保护基本要求培训;等级保护安全建设整改培训;信息系统安全等级保护测评过程培训。
服务收益
提高信息安全管理水平;
提高信息安全技术水平;
降低遭受非法攻击可能性;
最大限度降低系统遭破坏后损失;
获得专业测评机构颁发的等级测评证书;
行政免责。