等级保护方案 2.0
一、方案概述 公司为客户提供涉密信息系统建设全过程的设计咨询集成服务,全力保障测评(风险评估)工作顺利进行。依据相关标准要求,分级保护管理过程如下:系统定级—方案设计—工程实施—系统测评—系统审批—日常运维管理—测评与检查—系统废止。通常情况下,公司主要参与的阶段为方案设计到系统审批环节。 二、方案设计及评审 1.现状调研,主要包括:系统建设使用单位情况、物理环境分析、网络平台分析、软硬件环境分析、信息资源与应用系统分析、系统管理情况分析等; 2.在现状分析的基础上进行方案设计,主要包括系统分析、风险及需求分析、方案总体设计及详细设计、残留风险控制、项目组织及实施等内容; 3.方案评审汇报PPT编制; 4.协助方案专家评审; 5.方案评审通过后根据专家意见对方案进一步修改细化完善。 三、工程施工过程中,主要工作为: 项目正式开工前 1.编制项目实施方案,对设计方案进一步细化; 2.编制工程进度计划,上报相关材料、设备、产品等。 安全保密控制方面 根据工程具体情况划定保密范围,制定相应的保密措施和保密控制流程,严格控制接触涉密信息的人员范围。 技术方面 物理安全、运行安全、信息安全保密等技术要求方面的实施内容,主要包括: 1.安全、网络等产品安装调试; 2.安全保密产品策略部署及更新; 3.网络设备访问控制策略部署及更新; 4.应用系统开发安全保密咨询; 5.系统联调测试; 6.域控策略(如有); 7.服务器及终端安全控制策略; 8.终端安全保密检查; 9.物理环境改造; 10.相关软硬件的系统加固工作,含交换机、终端、服务器及数据库、操作系统等方面的系统加固工作; 11.应用系统权限分配及访问控制相关策略的优化完善; 12.工程现场施工完成后负责准备验收材料,协助甲方和监理进行系统初验。 管理方面 协助整理安全保密管理方面的相关内容,主要包括: 1.进一步完善、修改、细化既有管理制度体系,依据相关标准要求编制安全保密制度、应急响应策略、备份与恢复策略等; 2.管理制度有关见证材料如各类管理类表格的准备; 3.收集梳理信息化、保密、保卫、人事、资产管理及相关业务工作等部门的相关测评所需资料; 4.各类资质的收集整理(产品、集成、应用开发); 5.管理文档如风险评估材料、备份与恢复演练记录等的准备; 6.组织或协调第三方厂商针对产品、制度等各方面进行人员培训。 四、系统测评时的工作: 1.协助编写测评申请书; 2.有针对性的进行测评前的培训工作; 3.测评过程中的现场技术支持工作。 五、系统审批时的工作: 2.协助填报审批材料; 3.准备验收材料进行系统终验。 六、方案优势 天正科技践行前沿信息安全理念,打造信息安全生态圈,提倡“持续保护、不止合规”的等保核心价值。以可视化方式看清资产、业务关系,看懂威胁、安全风险;对网络中各类风险持续检测,将安全运营工作化繁为简;通过天正科技云安全平台构建本地协同、云端联动的动态保护体系。让客户感受到等级保护带来的实际价值。 七、等保定级以及二三级等保的区别: 1、 系统定级 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级响应、处置。2007年7月16日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合签发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(工信部[2007]861号)。2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。 |