等級保護體系建設咨詢服務

china-along

      依據(jù) GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 國家等級保護制度的要求和對網(wǎng)絡信息安全的實際需求，根據(jù) “ 等級化安全體系 ” 的理念，采用體系化和等級化相結(jié)合的方法，協(xié)助用戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。積極探索等級保護與 ISO27001 相結(jié)合的實踐方案。

詳細內(nèi)容：

    安融等級化安全體系咨詢服務參照《安全等級保護辦法》和《信息系統(tǒng)安全等級保護實施指南》，提供一套等級化的安全體系設計方法和保障服務。

　　“ 等級化安全體系 ” 是依據(jù)國家信息安全等級保護制度，根據(jù)系統(tǒng)在不同階段的需求、業(yè)務特性及應用重點，采用等級化與體系化相結(jié)合的安全體系設計方法，幫助構建一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全防御體系。

　　整體的安全保障體系包括技術和管理兩大部分，其中管理部分可以分為策略、組織和運作三個部分。即整個體系分為四部分，包括策略體系、組織體系、技術體系和運作體系。整個安全保障體系的四個部分既有機結(jié)合，又相互支撐，之間的關系為 “ 根據(jù)安全策略體系中策略，由組織體系（或人員），利用技術體系作為工具和手段，進行操作來維持運行體系

　　依據(jù) GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 國家等級保護制度的要求和對網(wǎng)絡信息安全的實際需求，根據(jù) “ 等級化安全體系 ” 的理念，采用體系化和等級化相結(jié)合的方法，協(xié)助用戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。 安融在大量的咨詢案例中，積極探索等級保護與 ISO27001/ISO20000/COBIT 等國際標準相結(jié)合的可實行方案，取得了用戶示范效應和實踐效益的巨大成功。

 

     根據(jù)等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：

1. 系統(tǒng)識別與定級：通過分析各應用系統(tǒng)所屬類型、所屬信息類別、服務范圍以及業(yè)務對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設計、安全保障體系框架設計、安全要求選擇以及安全措施選擇提供依據(jù)。

2. 安全域設計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務流程、功能模塊，根據(jù)安全域劃分原則設計系統(tǒng)安全域架構。通過安全域設計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設計提供基礎框架。

3. 安全保障體系框架設計：根據(jù)安全域框架，設計系統(tǒng)各個層次的安全保障體系框架（包括策略、組織、技術和運作），各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架。

4. 確定安全域安全要求：參照國家相關等級保護安全要求，設計等級安全指標庫。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。

5. 評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關風險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風險評估。通過等級風險評估，可以明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據(jù)。

6. 安全技術解決方案設計：針對安全要求，建立安全技術措施庫。通過等級風險評估結(jié)果，設計系統(tǒng)安全技術解決方案。

7. 安全管理建設：針對安全要求，建立安全管理措施庫。通過等級風險評估結(jié)果，進行安全管理建設。

通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全術建設和安全管理建設，保障系統(tǒng)整體的安全。