等級保護建設解決方案等級保護建設解決方案圖 1 等級保護整體服務方案工作流程圖 等級保護的建設是個長期的過程,需要花費大量的時間、精力和財力,本著為用戶服務的態度,“中國信息安全測評服務方華中測評服務中心”推出了等級保護專業服務,提供包括定級備案、差距分析、方案制訂、實施、測評、檢查等各個環節的服務,通過自身的安全產品、安全服務,可協助用戶完成等級保護各個階段的實施和建設,確保用戶嚴格按照等級保護的過程規劃并建設自己的安全保障體系,更好地支撐應用和業務的開展,為用戶信息安全保障體系“保駕護航”。 測評服務方在等級保護各個階段將協助用戶完成上圖的任務和工作。具體包括: 1) 等級保護定級備案 對信息系統進行劃分,并根據信息系統的價值確定信息系統的保護等級,等級確定后測評服務方將協助用戶完成保護等級的備案工作。 2) 等級保護差距分析 通過風險評估可以發現信息系統的安全現狀與需要達到的安全等級或目標的差異,使信息系統的管理和使用單位可以在技術和管理方面進行有針對性的加強和完善,使單位的信息系統安全工作有的放矢。 3) 等級保護整改建議方案 測評服務方根據評估的結果和信息系統確認的保護等級,結合《信息系統安全等級保護基本要求》以及其它相關整改標準中對各級別信息系統的技術、管理和運維方面的要求,制定相應的安全保護措施,完成等級保護整改建議方案的設計。 依據公通字[2007]43號文的要求,信息系統定級工作完成后,運營、使用單位首先要按照相關的管理規范和技術標準進行安全建設和整改,使用符合國家有關規定、滿足信息系統安全保護等級需求的信息技術產品,進行信息系統安全建設或者改建工作。 等級保護整改的核心是根據用戶的實際信息安全需求、業務特點及應用重點,在確定不同系統重要程度的基礎上,進行重點保護。整改工作要遵循國家等級保護相關要求,將等級保護要求體現到方案、產品和安全服務中去,并切實結合用戶信息安全建設的實際需求,建設一套全面保護、重點突出、持續運行的安全保障體系,將等級保護制度確實落實到企業的信息安全規劃、建設、評估、運行和維護等各個環節,保障企業的信息安全。 4) 等級保護整改實施 測評服務方將依據規劃向用戶提供詳細設計和等級保護系統建設服務,確保保障等級能夠達到信息系統所要求的保護等級,或者協助用戶進行等級保護的實施,對承建商的工作進行監理。 5) 等級保護測評咨詢 在信息系統進行完成定級和整改實施之后,需要通過測試手段對信息系統的安全技術和安全管理上各個層面的安全控制進行整體性驗證,測評服務方提供的測評咨詢服務將協助用戶通過等級保護測評工作。 6) 等級保護檢查咨詢 在信息系統進行完成定級和整改實施之后,國家主管機關將對信息系統的安全技術和安全管理各個層面的安全控制進行檢查,測評服務方將協助用戶準備檢查所需要的文檔和資料,配合公安機關開展現場的檢查工作。
|