点击图片查看原图
1)建设背景
2017年6月1日《网络安全法》的正式实施,标志着网络安全建设被提到了历史的高度。
《网络安全法》规定:等级保护是我国信息安全管理的基本制度。随着信息化应用的不断深入与扩大,各政府企事业单位信息系统面临的安全问题和安全管理挑战越来越大。互联网门户网站系统、办公自动化系统是目前信息化体系中的重要组成部分,涉及信息系统众多;政府事业单位重要系统是国家规定的“关键信息基础设施建设”的主要内容之一,开展等级保护不仅是自身网络安全建设的必要措施,也是网络安全法的特定要求。
2)建设目标
按照《信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求》的相关要求,以“一个中心、三重防护”为核心指导思想,从安全计算环境、安全区域边界、安全通信网络以及安全管理中心四个方面构建安全建设方案,以满足等级保护安全建设的相关要求,提供一站式等级保护服务以及持久的安全运维服务。
3)等级保护现场测评内容
本测评内容依据等级保护建设测评指标和测评方式。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面。
4)等级保护安全建设服务流程
|
服务步骤 |
服务项目 |
服务内容 |
相关单位工作 |
输出文档 |
|
第一步 |
定级备案
|
协助客户进行自检和定级备案文档整理填写。(二套二级系统) |
客户方进行配合 |
《信息系统备案表》 《信息系统定级报告》 《信息系统补充信息表》 《XX信息系统备案证明》 |
|
第二步 |
信息系统调研 |
进行详细的信息系统调研,从物理、网络、主机、应用和数据五个方面以及管理制度的五个方面进行调研。 |
进行信息系统情况的梳理、调研和差距分析,客户方进行配合。 |
《xx信息系统基础调研报告》 |
|
第三步 |
安全设备安装及配置及策略配置 |
安全设备安装调试及策略配置 |
我司与客户方配合 |
安全设备安装并调试完成 |
|
第四步 |
差距分析 |
进行风险评估,漏洞扫描,渗透测试工作。从物理、网络、主机、应用和数据多个层面进行。 |
根据等级保护建设要求为客户进行差距分析相关工作。 |
《xx信息系统风险评估报告》 《xx信息系统漏洞扫描报告》 《xx信息系统渗透测试报告》 |
|
第五步 |
初测评 |
测评机构进场进行两套系统的测评工作,测评内容包括应用安全、物理安全、主机安全、数据安全、网络通信安全等方面 |
我司和客户方配合完成 |
《xx信息系统差距性分析报告》2套 |
|
第六步 |
整改建设 |
进行整改建设,帮助客户落实信息系统安全整改建设,进行安全加固,漏洞修复等整改工作,为客户进行硬件、安全设备,交换机等网络产品,主机方面的策略配置等工作。 |
为客户进行整改实施,进行落地实施交付工作。 |
《xx信息系统整改建设方案设计》 《信息系统整改建设实施方案》 《2套系统的全套管理制度文,每套系统约120份+》 《信息系统整改建设测试方案》 《信息系统整改建过程文档记录》 |
|
第七步 |
测评机构复测 |
测评机构进场进行复测 |
测评机构安排测评师进场进行复测。 |
《XX信息系统测评报告》 |
南京恒略信息技术有限公司协助您完成等级保护需要的方方面面的要求,同时针对实际需要构建一个可管理,可运营的动态网络安全环境。保障关键业务24小时不间断连续运行。欢迎电话咨询 杨经理 (微信同号)18905171088