摘要:我們根據(jù)客戶需求并遵循國家信息安全等級保護的要求,為上海市黃浦區(qū)校園安全管理中心提供標準有效的一站式等保咨詢服務解決方案,這不僅是貫徹落實國家網(wǎng)絡安全等級保護制度要求的有力舉措,同時能夠完善學校對信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡攻擊,保障學校信息系統(tǒng)安全有序運作。
一、項目背景
隨著信息化的快速發(fā)展和信息技術的廣泛應用,網(wǎng)絡安全面臨的威脅持續(xù)加大,教育信息化是國家信息化重要組成部分,教育行業(yè)網(wǎng)絡與信息安全工作關系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展。
為了保護我國基礎信息網(wǎng)絡的安全,國家推出一系列針對信息系統(tǒng)安全等級防護的規(guī)范制度。2017年6月1日正式實施的《網(wǎng)絡安全法》第二十一條明確國家實行網(wǎng)絡安全等級保護制度要求。2019年5月13日《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)正式發(fā)布,同年12月1日正式實施,預示著等級保護2.0體系的正式來臨,等級保護也從原有的法規(guī)條例上升到法律層面。
上海市黃浦區(qū)校園安全管理中心等級保護服務項目是貫徹落實國家網(wǎng)絡安全等級保護制度要求的有力舉措,同時能夠完善學校對信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡攻擊,保障學校信息系統(tǒng)安全有序運作。
二、項目需求
1、系統(tǒng)現(xiàn)狀
校園安全工作檢查系統(tǒng)是上海市黃浦區(qū)校園安全管理中心的內(nèi)部系統(tǒng),主要的作用是為下屬各分校的安全工作檢查提供統(tǒng)一的管理,如包括每月巡檢、通知管理、保安管理、消防管理、特種設備管理、車輛管理、防汛防臺管理、日常檢查管理、專項檢查等工作內(nèi)容的管理,同時還提供匯總及分析服務。
校園視頻監(jiān)控系統(tǒng)存儲大量學校及個人隱私數(shù)據(jù),如包含地理環(huán)境信息、布防信息、錄像信息、抓拍信息、回放信息等數(shù)據(jù)內(nèi)容。
2、預期目標
綜合防范,整體安全:堅持管理與技術并重,從人員、管理、安全技術手段等多方面著手,建立綜合防范機制,實現(xiàn)整體安全。
分級保護、務求實效:從實際出發(fā),綜合評估信息的價值和系統(tǒng)所面臨風險大小等因素,依據(jù)安全等級進行安全建設和管理,綜合平衡安全成本和風險,優(yōu)化信息安全資源的配置。
標準化與規(guī)范化原則:基于國際標準和國家頒布的有關標準,堅持統(tǒng)一、標準、規(guī)范的原則,為未來業(yè)務發(fā)展增容奠定良好的基礎。
較小影響原則:信息系統(tǒng)安全保障將盡可能小地影響現(xiàn)有系統(tǒng)和網(wǎng)絡的正常運行,不會對業(yè)務的正常運行產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡阻塞、服務中斷等),如無法避免,將對風險進行說明。
三、服務方案
為了滿足客戶預期目標,御盾安全根據(jù)客戶需求并遵循國家信息安全等級保護的要求提供標準有效的一站式解決方案。
1、系統(tǒng)定級與備案
依據(jù)《網(wǎng)絡安全等級保護定級指南》對客戶信息系統(tǒng)和網(wǎng)絡現(xiàn)狀進行調(diào)研與分析;明確系統(tǒng)邊界,識別數(shù)據(jù)和應用的重要程度,結合國家對等保的要求及規(guī)定,定義出符合企業(yè)自身現(xiàn)狀的等保級別,最終確定校園安全工作檢查系統(tǒng)的業(yè)務信息安全保護等級為第二級,校園視頻監(jiān)控平臺的系統(tǒng)服務安全保護等級為第二級;編寫定級報告和定級備案表,經(jīng)過評審后,向公安機關備案。
2、風險評估與差距分析
根據(jù)信息系統(tǒng)定級結果以及等級保護基本要求,選擇適當?shù)陌踩Wo指標;對信息系統(tǒng)及運行環(huán)境進行差距分析工作,識別威脅和弱點,挖掘安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全通信網(wǎng)絡、安全管理中心、管理等各層面安全風險;通過將系統(tǒng)安全現(xiàn)狀與安全評估指標進行逐一對比,記錄當前的現(xiàn)狀情況,找到與評估指標之間的差距,判斷安全技術和安全管理方面與評估指標的符合程度;在此基礎上將差距分析的結果文檔化,形成差距分析報告并提出改進建議。
3、安全建設規(guī)劃
根據(jù)差距分析結果,從管理和技術兩個方面確定信息系統(tǒng)安全建設整改需求,在明確安全需求的基礎上,對安全體系進行總體設計并規(guī)劃安全建設項目。
4、安全方案設計
根據(jù)安全建設規(guī)劃,進行詳細的方案設計和安全產(chǎn)品選擇,形成可實施的詳細方案。根據(jù)建設目標和建設內(nèi)容將總體設計和建設規(guī)劃中要求實現(xiàn)的安全策略、安全技術體系結構、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔;根據(jù)用戶當前安全管理需要和安全技術保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應的本期安全實施內(nèi)容,以保證安全技術建設的同時,安全管理的同步建設,安全管理設計的內(nèi)容主要考慮:安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。
5、協(xié)助安全加固
根據(jù)等保差距分析的結果,對網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)進行配置加固,提高系統(tǒng)安全性,滿足等保要求,并將加固記錄分析整理,形成安全加固報告。
6、安全管理咨詢
協(xié)助用戶完善配套的安全管理職能部門,通過管理機構的崗位設置、人員的分工以及各種資源的配備,為信息系統(tǒng)的安全管理提供組織上的保障;協(xié)助用戶完善修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設、開發(fā)、運維、升級和改造等各個階段和環(huán)節(jié)所應當遵循的行為規(guī)范和操作規(guī)程;協(xié)助用戶根據(jù)自己組織結構特點進行安全制度培訓、宣傳、推廣,確保安全制度的落地執(zhí)行。
7、輔助等級測評
協(xié)助客戶選擇適合其行業(yè)特點、具備等保測評資質(zhì)的第三方測評機構,并提交等保測評申請;根據(jù)測評要求,協(xié)助補充和準備測評所需的文檔資料;指派專業(yè)咨詢顧問配合測評機構的現(xiàn)場測評工作,協(xié)助回答測評人員問題,協(xié)助客戶搜集測評需要的制度、記錄等文檔,協(xié)助客戶完成國家等級保護測評;現(xiàn)場測評過程中可能會出現(xiàn)部分不符合項,咨詢顧問針對這些不符合項進行快速整改,確保客戶順利通過測評。
8、后期持續(xù)運維
等保測評通過后,保持對其持續(xù)運行維護(包含每年續(xù)證事宜、因政策變化而引起的變更調(diào)整、新增及調(diào)整需求等)。
四、客戶收益
通過本次服務,客戶可以獲得如下收益:
①發(fā)現(xiàn)安全現(xiàn)狀與安全要求的差距
②根據(jù)整改建議及安全加固增強信息系統(tǒng)的安全防護能力
③建設符合標準規(guī)范的信息系統(tǒng)
④獲得等級保護全周期性的安全服務
⑤獲得中長期的等級保護建設發(fā)展規(guī)劃建議
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )