經(jīng)驗分享:
關(guān)于網(wǎng)絡(luò)安全等級保護工作必要性的分享:
1、開展網(wǎng)絡(luò)安全等級保護工作是法律的要求。國家法律法規(guī)及行業(yè)監(jiān)管政策都要求開展等級保護工作。如《網(wǎng)絡(luò)安全法》和《信息安全等級保護管理辦法》明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求,履行安全保護義務(wù),如果拒不履行,將會受到相應(yīng)處罰。
2、是對外合作中相關(guān)方的安全要求。信息系統(tǒng)運營單位在向外部客戶提供業(yè)務(wù)服務(wù)時,通過等保測評,能向客戶及利益相關(guān)方展示信息系統(tǒng)安全性承諾,增強客戶、合作伙伴及利益相關(guān)方的信心。
3、是提升自身網(wǎng)絡(luò)安全防護能力的必要途徑。信息系統(tǒng)運營、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處,可通過安全整改提升系統(tǒng)的安全防護能力,降低被攻擊的風(fēng)險。不開展網(wǎng)絡(luò)安全等級保護工作將會被監(jiān)管部門約談、罰款、責(zé)令整改。
成果展示:
一、方案概述
時代新威面向企事業(yè)單位提供覆蓋網(wǎng)絡(luò)安全等級保護定級、備案、整改、測評、監(jiān)督檢查全流程一站式等保服務(wù),協(xié)助企事業(yè)省心、省力、省時、合規(guī)通過等保測評,取得《信息系統(tǒng)安全等級保護備案證明》。
二、為什么要開展等級保護工作?
1、法律法規(guī)要求
《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條、第三十一條明確規(guī)定網(wǎng)絡(luò)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求,履行安全保護義務(wù)。
2、行業(yè)監(jiān)管要求
越來越多的行業(yè)及主管/監(jiān)管單位明確要求企業(yè)開展等級保護工作,目前金融、電力、廣電、醫(yī)療、教育、物流等行業(yè)均將等保作為準入門檻之一;
3、企業(yè)系統(tǒng)安全的需求
網(wǎng)絡(luò)運營、使用單位通過開展等級保護工作可以發(fā)現(xiàn)信息系統(tǒng)內(nèi)部存在的安全隱患與不足,進行安全整改之后,提高信息系統(tǒng)的信息安全防護能力,降低系統(tǒng)被各種攻擊的風(fēng)險,避免信息系統(tǒng)核心數(shù)據(jù)丟失,及因此而帶來直接或者間接的經(jīng)濟損失,維持企業(yè)良好的形象。
三、時代新威等級保護“一站式”服務(wù)內(nèi)容
綜合分析系統(tǒng)現(xiàn)狀、行業(yè)相關(guān)要求及客戶的安全現(xiàn)狀,時代新威能提供:等級保護定級備案服務(wù):信息系統(tǒng)等級工作,是開展等級保護的首要環(huán)節(jié),時代新威將依據(jù)豐富的等級保護咨詢經(jīng)驗,根據(jù)客戶信息系統(tǒng)的實際情況,提供等級咨詢工作。具體包括:
1.培訓(xùn)國家等級保護相關(guān)政策、國內(nèi)外網(wǎng)絡(luò)安全形勢及網(wǎng)絡(luò)安全意識。
2.分析客戶的組織架構(gòu)、業(yè)務(wù)要求、信息系統(tǒng)等內(nèi)容,對重要信息系統(tǒng)進行摸底調(diào)查,確定定級對象;
3.針對定級對象,基于國家《定級指南》及時代新威成熟的定級方法等,協(xié)助客戶初步確定客戶重要信息系統(tǒng)的等級,完成《定級報告》;
4.協(xié)助進行專家評審和審批,協(xié)助完成定級備案工作;
5.針對大型企業(yè),時代新威可以協(xié)助單位編寫《安全等級保護定級指南》;
6.如果信息系統(tǒng)有重大變更,時代新威將協(xié)助客戶重新對信息系統(tǒng)進行定級備案工作。
等級保護差距分析服務(wù):
完成信息系統(tǒng)等級工作之后,我司將依據(jù)等級保護基本要求,通過文檔審核、現(xiàn)場訪談、配置核查、漏洞掃描、滲透測試等方式開展差距分析工作。時代新威具有等級保護的專家團隊,深入了解國家等級保護相關(guān)政策,熟悉等級保護測評的關(guān)鍵點,幫助客戶將系統(tǒng)現(xiàn)狀與安全評估指標進行逐一對比,并記錄當(dāng)前的現(xiàn)狀情況,找到與評估指標之間的差距。完成《等級保護差距分析報告》。
等級保護建設(shè)整改咨詢服務(wù):時代新威將委派高級咨詢顧問協(xié)助客戶等級保護建設(shè)整改工作。依據(jù)客戶等級保護差距分析報告及用戶的安全目標、安全需求,咨詢顧問將給出專家級的等級保護規(guī)劃整改建議及詳細的實施方案初稿,并依據(jù)實施方案協(xié)助用戶開展整改工作。具體內(nèi)容如下:
1.根據(jù)信息系統(tǒng)安全等級保護基本要求、差距分析報告、總體安全策略文件等提出系統(tǒng)需要實施的安全技術(shù)措施,給出需要采購產(chǎn)品清單。
2.根據(jù)等級保護基本要求、差距分析報告、用戶總體安全策略文件等,幫助客戶調(diào)整原有管理模式和管理策略,形成新的管理制度體系,滿足等保要求。
3.指導(dǎo)用戶對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和系統(tǒng)數(shù)據(jù)庫進行全方位的加固。
4.時代新威還將協(xié)助聘請等級保護專家、行業(yè)專家、主管機關(guān)領(lǐng)導(dǎo)等專家,召開規(guī)劃整改建議方案評審會,對規(guī)劃整改建議進行評審,評審后,時代新威咨詢顧問將參考專家評審意見修改,最終確定信息系統(tǒng)等級保護規(guī)劃整改方案。
等級保護測評服務(wù):
時代新威將委派等級保護測評工程師和攻防實驗室專業(yè)技術(shù)人員共同完成等保測評工作,出具等級保護測評報告。