信息安全等级保护标准解决方案
• 客户痛点需求
一是国家政策和主管部门相关要求,
二是业务安全保障的需要,
三是信息安全风险管理的需要。
• 解决方案介绍
以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件,通过分析网络环境实际安全需求,结合其业务信息的实际特性,并依据相关政策标准和用户提出的额外安全需求,进行系统性方案设计,建立符合网络环境的信息安全保障体系框架。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,发挥安全措施的保护能力。提炼并总结全面的等级保护建设模型,强调等级保护建设的三个重点,包括定级、建设整改以及等级测评,为用户提供覆盖等级保护工作各阶段的安全方案和服务,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。
• 方案优势
一、 合规性建设与业务风险结合
通过对网络环境现状进行实际调研,利用差距分析的方法与《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)(以下简称“《基本要求》”)的控制项进行符合度比对分析,掌握系统防护现状与基线要求间的实际差距。并采用信息安全风险评估的方法,对网络环境进行全面的资产、脆弱性、威胁和业务风险等方面的系统化测评分析,发现基于业务的安全风险问题。将差距分析结果与风险评估结果进行充分结合与提炼,综合形成能够符合等级保护建设要求并充分保障业务安全的建设需求。
二、 基于应用的安全策略
以安全保障体系框架为主体,深入开展基于网络环境应用的流程分析与策略梳理,通过对网络环境安全建模,将网络环境每一层面的安全控制有效落实到安全保障体系框架的各层防护之中,实现安全保障体系建设的高灵活性、高符合性与高适应性。
三、 计算环境安全
身份鉴别、访问控制、系统安全审计、入侵防范、主机恶意代码防范、软件容错、备份与恢复、资源控制。
四、 区域边界安全
边界访问控制、边界完整性检查、边界入侵防范、边界安全审计
五、 通信网络安全
网络结构安全、网络安全审计、网络设备防护、通信完整性、通信保密性
六、 安全管理中心
系统管理、审计管理
• 客户受益/客户价值
一、 合规
通过等级保护建设,满足合法合规要求,清晰化责任和工作方法,让网络安全贯穿全生命周期。
二、 与业务结合
通过等级保护建设,与业务结合,通过梳理客户的信息安全工作流程,构建符合客户自身需求和行业特点的信息安全保障体系,全面提升客户安全管理水平和技术服务能力;明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化
三、 体系化建设
明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化,有助于客户降低成本、提高效率、提升品牌形象和口碑,使客户在行业竞争中处于先进地位;
四、 全程协助
等级保护服务从定级、规划到实施要经历几个阶段,在整个过程中今信天安的等级保护安全专家都将协助客户寻求有效的工作方式,以帮助您保障业务安全,最终实现业务目标。
五、 提高人员安全意识
安全专家在系统定级、安全评估、整改规划和工程实施方面拥有丰富的经验,能够协助您完成等级保护的建设任务的同时,提高人员安全意识,树立等级化防护思想,合理分配网络安全投资。
• 目标客户(哪些行业客户)
政府、银行,电网,运营商,医院
