關(guān)鍵詞:信息安全合規(guī),等保咨詢,企業(yè)信息安全
摘要:上汽國際EPRO電子采購門戶網(wǎng)站系統(tǒng)承載著企業(yè)的重要業(yè)務(wù),安全性不容忽視,為提高重要信息系統(tǒng)的信息安全保護(hù)能力,依據(jù)相關(guān)政策要求,御盾為其提供整體的信息化安全合規(guī)咨詢服務(wù)及信息系統(tǒng)安全架構(gòu)的整改建議和方案。
政策背景
2019年5月13日,國家標(biāo)準(zhǔn)新聞發(fā)布會(huì)正式發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡稱“等保2.0”),針對設(shè)備以及計(jì)算安全類別第三級(jí)中明確要求需要加強(qiáng)對政企內(nèi)部安全的管控,需對用戶身份具有二次鑒別能力。并于2019年12月1日開始實(shí)施,標(biāo)志著對于信息安全的要求已經(jīng)上升到國家防控戰(zhàn)略層面,未來對企業(yè)信息化安全保護(hù)管控也將會(huì)越來越嚴(yán)格。
系統(tǒng)情況
上汽國際EPRO電子采購門戶網(wǎng)站系統(tǒng)僅用于處理公司的公司介紹、供應(yīng)商信息、訂單信息、采購信息等相關(guān)數(shù)據(jù)的數(shù)據(jù)生成、采集、傳輸、存儲(chǔ)及清算等工作,包含公司介紹、采購公告、資料下載、注冊指南等功能模塊,可保障業(yè)務(wù)采購信息流通過程的安全和信息存儲(chǔ)的安全,承載著企業(yè)的重要業(yè)務(wù),安全性不容忽視。為提高重要信息系統(tǒng)的信息安全保護(hù)能力,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》等相關(guān)政策要求,御盾為其提供整體的信息化安全合規(guī)咨詢服務(wù)及信息系統(tǒng)安全架構(gòu)的整改建議和方案。
等級(jí)保護(hù)咨詢服務(wù)
1.企業(yè)現(xiàn)狀評(píng)估
根據(jù)客戶的系統(tǒng)建設(shè)及內(nèi)部管理狀況,對其進(jìn)行全面評(píng)估,并出具等保評(píng)估報(bào)告,為后續(xù)的定義等保級(jí)別、設(shè)計(jì)整改方案提供支撐依據(jù)。
2.定義等保級(jí)別
根據(jù)評(píng)估報(bào)告,結(jié)合國家對等保的要求及規(guī)定,確定上汽國際EPRO電子采購門戶網(wǎng)站安全保護(hù)等級(jí)為第二級(jí)。
3.協(xié)助備案審查
指導(dǎo)和協(xié)助客戶收集、整理、準(zhǔn)備備案審查過程中所要求的各類資料和文檔,加快備案審查進(jìn)度,促成備案證書落地。
4.模擬等保測評(píng)
備案審查通過后,由御盾專業(yè)團(tuán)隊(duì)根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)對客戶EPRO電子采購門戶網(wǎng)站安全保護(hù)等級(jí)進(jìn)行安全技術(shù)與安全管理兩大部分中的十多個(gè)類別進(jìn)行模擬測評(píng)與分析,并形成測評(píng)報(bào)告。
5.設(shè)計(jì)整改方案
根據(jù)評(píng)估報(bào)告和模擬測評(píng)報(bào)告,對客戶的等保整改建設(shè)進(jìn)行全面規(guī)劃設(shè)計(jì),并出具整改建設(shè)方案。
6.落實(shí)整改事項(xiàng)
依據(jù)整改建設(shè)方案,對每項(xiàng)整改事項(xiàng)逐一分解并落實(shí)具體整改工作,有序保障整個(gè)整改工作的穩(wěn)步推進(jìn)。
7.輔助等保測評(píng)
將整改后的結(jié)果提交測評(píng)機(jī)構(gòu)進(jìn)行等保測評(píng),全程跟進(jìn)處理過程中所需資料及要求,確保測評(píng)工作順利完成。
8.后期持續(xù)運(yùn)維
等保測評(píng)通過后的持續(xù)運(yùn)行維護(hù)。
等級(jí)保護(hù)安全管理指導(dǎo)
1.安全管理機(jī)構(gòu)
梳理安全管理職能流程,協(xié)助建立管理機(jī)制。
2.安全管理制度
協(xié)助補(bǔ)充完善公司安全管理制度,明確落實(shí)安全人員的工作職責(zé)。
3.人員管理培訓(xùn)
(1)協(xié)助制定公司《信息系統(tǒng)人員管理制度》。
(2)定期組織公司信息系統(tǒng)相關(guān)人員的安全意識(shí)培訓(xùn)、安全技能培訓(xùn)。
(3)加強(qiáng)對第三方合作伙伴、人員、系統(tǒng)的安全管理,防止引入第三方給公司帶來的安全風(fēng)險(xiǎn)。
4.系統(tǒng)建設(shè)管理
協(xié)助制定《網(wǎng)絡(luò)與信息系統(tǒng)安全設(shè)計(jì)規(guī)范》、《IT產(chǎn)品采購管理制度》、《軟件開發(fā)管理規(guī)范》等系統(tǒng)建設(shè)管理制度并貫徹落實(shí)。
5.系統(tǒng)運(yùn)維管理
協(xié)助制定《辦公環(huán)境保密管理制度》、《資產(chǎn)安全管理制度》、《設(shè)備安全管理制度》等系統(tǒng)維護(hù)管理制度并貫徹落實(shí)。
服務(wù)價(jià)值體現(xiàn)
本次等保合規(guī)咨詢服務(wù)包含:系統(tǒng)定級(jí)評(píng)定、測評(píng)準(zhǔn)備、材料報(bào)告編制、協(xié)助測評(píng)、分析及報(bào)告編制等服務(wù)環(huán)節(jié),雙方之間的溝通與討論貫穿了整個(gè)服務(wù)過程。本次服務(wù)收獲的價(jià)值點(diǎn)如下:
1.御盾根據(jù)客戶系統(tǒng)情況為其提供專業(yè)、完整的解決方案,更加貼合等保2.0政策要求,幫助客戶順利實(shí)現(xiàn)信息化安全合規(guī),同時(shí)提供系統(tǒng)安全架構(gòu)的整改建議和方案,全方位梳理客戶業(yè)務(wù)流程以及存在的信息安全隱患,降低信息安全風(fēng)險(xiǎn),提高系統(tǒng)安全防護(hù)能力。
2.確立執(zhí)行標(biāo)準(zhǔn),有章可循。通過信息安全測評(píng)、整改,對企業(yè)信息資產(chǎn)的配置進(jìn)行全面梳理,將配置進(jìn)行重新調(diào)整,由之前的隨意配置變?yōu)榘凑諛?biāo)準(zhǔn)執(zhí)行,在管理方面也根據(jù)等級(jí)保護(hù)的要求對管理制度進(jìn)行了重新調(diào)整,執(zhí)行相關(guān)標(biāo)準(zhǔn),使客戶EPRO電子采購門戶網(wǎng)站的運(yùn)維管理變的安全高效。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )