摘要:我们根据客户需求并遵循国家信息安全等级保护的要求,为客户提供标准有效的一站式等保咨询服务和建设整改方案,这不仅是贯彻落实国家网络安全等级保护制度要求的有力举措,同时能够完善客户信息系统安全保障体系,提高信息系统的安全防御能力,更好地抵御网络攻击、保障客户数字化相关业务的发展。
一、项目背景
网络安全是我国国家安全的重要组成部分,根据公安部门的要求,需要全面开展网络安全等级保护定级备案、建设整改和等级测评等工作,需明确网络安全保障重心,落实网络安全责任,建立网络安全等级保护长效机制,以切实提高网络安全防护能力、隐患发现能力、应急处置能力,为客户信息化健康发展提供可靠保障,同时维护公共利益、社会秩序和国家安全。
二、项目需求
1、系统情况
DigiPrime系统是客户研发的一款适用于(Direct to Consumer)场景的数字化平台,包含线上渠道、线下门店、商品管理、支付交易、运力管理、风控和数据管理等模块,通过对公司的介绍和业务信息的展现,让公众浏览者对公司的数字化业务和DTC直接连接客户服务有所了解,帮助企业快速开展数字化业务。
2、建设目标
贯彻落实国家信息安全工作部署,完善客户信息系统安全技术防护措施、安全管理制度和安全运维体系,全面建设完整的信息安全防护体系,顺利通过信息系统等级测评,为客户信息化的健康快速发展保驾护航。
三、服务方案
根据客户需求,御盾为客户提供了一站式等保咨询服务和完整的建设整改方案,既可以充分满足国家信息安全等级保护相关标准的要求,又能够有效抵御安全风险,为客户信息系统提供有效保护。
1、系统定级与备案
依据《网络安全等级保护定级指南》对客户信息系统和网络现状进行调研与分析;明确系统边界,识别数据和应用的重要程度,结合国家对等保的要求及规定,定义出符合企业自身现状的等保级别,确定客户系统的业务信息安全保护等级为第三级;编写定级报告和定级备案表,经过评审后,向公安机关备案。
2、风险评估与差距分析
根据信息系统定级结果以及等级保护基本要求,选择适当的安全保护指标;对信息系统及运行环境进行差距分析工作,识别威胁和弱点,挖掘安全物理环境、安全区域边界、安全计算环境、安全通信网络、安全管理中心、管理等各层面安全风险;通过将系统安全现状与安全评估指标进行逐一对比,记录当前的现状情况,找到与评估指标之间的差距,判断安全技术和安全管理方面与评估指标的符合程度;在此基础上将差距分析的结果文档化,形成差距分析报告并提出改进建议。
3、 安全建设规划
根据差距分析结果,从管理和技术两个方面确定信息系统安全建设整改需求,在明确安全需求的基础上,对安全体系进行总体设计并规划安全建设项目。
4、 安全方案设计
根据安全建设规划,进行详细的方案设计和安全产品选择,形成可实施的详细方案。根据建设目标和建设内容将总体设计和建设规划中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档;根据用户当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设,安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
5、 协助安全加固
根据等保差距分析的结果,对网络设备、安全设备、操作系统、数据库、应用系统进行配置加固,提高系统安全性,满足等保要求,并将加固记录分析整理,形成安全加固报告。
6、 安全管理咨询
协助用户完善配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障;协助用户完善修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程;协助用户根据自己组织结构特点进行安全制度培训、宣传、推广,确保安全制度的落地执行。
7、 辅助等级测评
协助客户选择适合其行业特点、具备等保测评资质的第三方测评机构,并提交等保测评申请;根据测评要求,协助补充和准备测评所需的文档资料;指派专业咨询顾问配合测评机构的现场测评工作,协助回答测评人员问题,协助客户搜集测评需要的制度、记录等文档,协助客户完成国家等级保护测评;现场测评过程中可能会出现部分不符合项,咨询顾问针对这些不符合项进行快速整改,确保客户顺利通过测评。
8、 后期持续运维
等保测评通过后,保持对其持续运行维护(包含每年续证事宜、因政策变化而引起的变更调整、新增及调整需求等)。
四、服务价值体现
一方面提高了客户IT安全管理水平,全面降低信息安全风险,同时帮助客户在行业中树立良好的安全形象,同时更好地保障了客户业务的发展,具有良好的经济效益和社会效益。
1、协助客户满足等级保护2.0的合规性要求,符合国家法律法规的相关规定。
2、统一规划、统一建设、统一运营,充分利用现有网络资源和安全资源,节省投资,减少重复建设。
3、加强网络安全建设,提高客户的网络安全防御体系,减少由病毒及黑客攻击带来的间接损失。
4、完善的网络安全防护体系,有效防范网络安全问题引发的社会不良影响;实现客户敏感数据的安全防护,降低网络安全问题可能引发的法律风险。
