等級保護方案

餐飲衛(wèi)生許可證

1544879049681293.jpg


1.jpg

2.png

3.jpg

一、方案概述

公司為客戶提供涉密信息系統(tǒng)建設全過程的設計咨詢集成服務,全力保障測評(風險評估)工作順利進行。依據(jù)相關標準要求,分級保護管理過程如下:系統(tǒng)定級—方案設計—工程實施—系統(tǒng)測評—系統(tǒng)審批—日常運維管理—測評與檢查—系統(tǒng)廢止。通常情況下,公司主要參與的階段為方案設計到系統(tǒng)審批環(huán)節(jié)。

image.png

1558595105121005.jpg

二、方案設計及評審


1.現(xiàn)狀調(diào)研,主要包括:系統(tǒng)建設使用單位情況、物理環(huán)境分析、網(wǎng)絡平臺分析、軟硬件環(huán)境分析、信息資源與應用系統(tǒng)分析、系統(tǒng)管理情況分析等;


2.在現(xiàn)狀分析的基礎上進行方案設計,主要包括系統(tǒng)分析、風險及需求分析、方案總體設計及詳細設計、殘留風險控制、項目組織及實施等內(nèi)容;


3.方案評審匯報PPT編制;


4.協(xié)助方案專家評審;


5.方案評審通過后根據(jù)專家意見對方案進一步修改細化完善。

等保方案設計.jpg

三、工程施工過程中,主要工作為:


項目正式開工前


1.編制項目實施方案,對設計方案進一步細化;


2.編制工程進度計劃,上報相關材料、設備、產(chǎn)品等。


安全保密控制方面


根據(jù)工程具體情況劃定保密范圍,制定相應的保密措施和保密控制流程,嚴格控制接觸涉密信息的人員范圍。


技術方面


物理安全、運行安全、信息安全保密等技術要求方面的實施內(nèi)容,主要包括:


1.安全、網(wǎng)絡等產(chǎn)品安裝調(diào)試;


2.安全保密產(chǎn)品策略部署及更新;


3.網(wǎng)絡設備訪問控制策略部署及更新;


4.應用系統(tǒng)開發(fā)安全保密咨詢;


5.系統(tǒng)聯(lián)調(diào)測試;


6.域控策略(如有);


7.服務器及終端安全控制策略;


8.終端安全保密檢查;


9.物理環(huán)境改造;


10.相關軟硬件的系統(tǒng)加固工作,含交換機、終端、服務器及數(shù)據(jù)庫、操作系統(tǒng)等方面的系統(tǒng)加固工作;


11.應用系統(tǒng)權限分配及訪問控制相關策略的優(yōu)化完善;


12.工程現(xiàn)場施工完成后負責準備驗收材料,協(xié)助甲方和監(jiān)理進行系統(tǒng)初驗。


管理方面


協(xié)助整理安全保密管理方面的相關內(nèi)容,主要包括:


1.進一步完善、修改、細化既有管理制度體系,依據(jù)相關標準要求編制安全保密制度、應急響應策略、備份與恢復策略等;


2.管理制度有關見證材料如各類管理類表格的準備;


3.收集梳理信息化、保密、保衛(wèi)、人事、資產(chǎn)管理及相關業(yè)務工作等部門的相關測評所需資料;


4.各類資質的收集整理(產(chǎn)品、集成、應用開發(fā));


5.管理文檔如風險評估材料、備份與恢復演練記錄等的準備;


6.組織或協(xié)調(diào)第三方廠商針對產(chǎn)品、制度等各方面進行人員培訓。

1113355423_title0h.jpg

四、系統(tǒng)測評時的工作:


1.協(xié)助編寫測評申請書;


2.有針對性的進行測評前的培訓工作;


3.測評過程中的現(xiàn)場技術支持工作。


五、系統(tǒng)審批時的工作:


1.針對測評時發(fā)現(xiàn)的問題協(xié)助甲方進行整改;


2.協(xié)助填報審批材料;


3.準備驗收材料進行系統(tǒng)終驗。


六、方案優(yōu)勢


天正科技踐行前沿信息安全理念,打造信息安全生態(tài)圈,提倡“持續(xù)保護、不止合規(guī)”的等保核心價值。以可視化方式看清資產(chǎn)、業(yè)務關系,看懂威脅、安全風險;對網(wǎng)絡中各類風險持續(xù)檢測,將安全運營工作化繁為簡;通過天正科技云安全平臺構建本地協(xié)同、云端聯(lián)動的動態(tài)保護體系。讓客戶感受到等級保護帶來的實際價值。

方案優(yōu)勢.jpg

七、等保定級以及二三級等保的區(qū)別:

1、 系統(tǒng)定級 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級響應、處置。2007年7月16日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合簽發(fā)了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(工信部[2007]861號)。2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作。
2、 不同等級的安全保護能力 根據(jù)國家標準“GB/T 22239—2008:信息安全技術信息系統(tǒng)安全等級保護基本要求”,對不同等級的信息系統(tǒng)應具備的基本安全保護能力要求如下: 第一級安全保護能力:應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害,在系統(tǒng)遭到損害后,能夠恢復部分功能。 第二級安全保護能力:應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害,能夠發(fā)現(xiàn)重要的安全 漏洞和安全事件,在系統(tǒng)遭到損害后,能夠在一段時間內(nèi)恢復部分功能。 第三級安全保護能力:應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠較快恢復絕大部分功能 第四級安全保護能力:應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有 豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全事件,在系統(tǒng)遭到損害后,能夠迅速恢復所有功能。
3、 等保二級與三級主要控制措施對比

QQ圖片20181213224828.png