letm
信息系统安全等级保护制度〔以下简称"等级保护〞〕作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义.
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民##国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》〔公通字[2004]66号〕、《信息安全等级保护管理办法〔试行〕》〔公通字[2006]7号〕,公安部颁布的《公安部信息系统安全保护等级实施指南〔试行稿〕〔20##〕》,以与市实施的《市公共服务网络与信息系统安全管理规定》〔市政府第163号令〕等. 中国长城资产管理公司〔以下简称"公司〞〕,作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 "老三样〞,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用.
钢铁清洗剂公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以与商业化经营等业务的顺利开展提供了完整的业务操作平台.为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,
规X信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善.
二、确定综合经营管理系统的保护级别
根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家
安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司
里属于首家.
三、建设目标
在今年的《信息系统安全等级保护基本要求〔报批稿〕》中的3级基本要求中明确规定需要建立"监控管理和安全管理中心〞,这说明公司的等级保护平台建设走在了行业的前头,为相
关行业的等级保护测评工作提供了宝贵的经验.
等级保护保护整改与安全建设工作重要性
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规X和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改ttbn
建工作.
等级保护整改的核心是根据用户的实际信息安全需求、业务特点与应用重点,在
确定不同系统重要程度的基础上,进行重点保护.整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全.
启明星辰等级保护整改与安全建设过程
启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准
和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全
建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规
X的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全 整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招
投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作.
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段.
<;一> 等级保护差距分析
1. 等级保护风险评估
1> 评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对
信息系统进行安全建设和管理的重要组成部分.
等级评估不同于按照等级保护要求进行的等保差距分析.风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行
符合性检查,检查信息系统现状与国家等保要求之间的符合程度.可以说,风险评
估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术
上更加深入.风险评估的结果和差距分析结果都是整改建议方案的输入.
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:
●了解信息系统的管理、网络和系统安全现状;
●确定可能对资产造成危害的威胁;
●确定威胁实施的可能性;
标定●对可能受到威胁影响的资产确定其价值、敏感性和严重性,以与相应的级别,确
定哪些资产是最重要的;
●对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
●明确信息系统的已有安全措施的有效性;
●明晰信息系统的安全管理需求.
2> 评估内容
●资产识别与赋值
●主机安全性评估
●数据库安全性评估
●安全设备评估
现场风险评估用到的主要评估方法包括:
●漏洞扫描
●控制台审计
●技术访谈
3> 评估分析
根据现场收集的信息与对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据.
2. 等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项.
1> 准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象〔部门和人员〕,准备相应的检查内容.在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据与风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求.真空抽气机组
差距分析表包含以下内容:
●安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全与备份恢复;
●安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
●系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防X管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
●物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护.
不同安全保护级别的系统所使用的差距分析表的内容也不同.
2> 现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定不符合项.现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组.
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改.
●查验文档资料
●人员访谈
●现场测试
3> 生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》.
<;二> 等级保护整改建议方案
auts1. 整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案.
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议