经验分享:
关于网络安全等级保护工作必要性的分享:
1、开展网络安全等级保护工作是法律的要求。国家法律法规及行业监管政策都要求开展等级保护工作。如《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
2、是对外合作中相关方的安全要求。信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
3、是提升自身网络安全防护能力的必要途径。信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。不开展网络安全等级保护工作将会被监管部门约谈、罚款、责令整改。
成果展示:
一、方案概述
时代新威面向企事业单位提供覆盖网络安全等级保护定级、备案、整改、测评、监督检查全流程一站式等保服务,协助企事业省心、省力、省时、合规通过等保测评,取得《信息系统安全等级保护备案证明》。
二、为什么要开展等级保护工作?
1、法律法规要求
《中华人民共和国网络安全法》第二十一条、第三十一条明确规定网络运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务。
2、行业监管要求
越来越多的行业及主管/监管单位明确要求企业开展等级保护工作,目前金融、电力、广电、医疗、教育、物流等行业均将等保作为准入门槛之一;
3、企业系统安全的需求
网络运营、使用单位通过开展等级保护工作可以发现信息系统内部存在的安全隐患与不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,避免信息系统核心数据丢失,及因此而带来直接或者间接的经济损失,维持企业良好的形象。
三、时代新威等级保护“一站式”服务内容
综合分析系统现状、行业相关要求及客户的安全现状,时代新威能提供:等级保护定级备案服务:信息系统等级工作,是开展等级保护的首要环节,时代新威将依据丰富的等级保护咨询经验,根据客户信息系统的实际情况,提供等级咨询工作。具体包括:
1.培训国家等级保护相关政策、国内外网络安全形势及网络安全意识。
2.分析客户的组织架构、业务要求、信息系统等内容,对重要信息系统进行摸底调查,确定定级对象;
3.针对定级对象,基于国家《定级指南》及时代新威成熟的定级方法等,协助客户初步确定客户重要信息系统的等级,完成《定级报告》;
4.协助进行专家评审和审批,协助完成定级备案工作;
5.针对大型企业,时代新威可以协助单位编写《安全等级保护定级指南》;
6.如果信息系统有重大变更,时代新威将协助客户重新对信息系统进行定级备案工作。
等级保护差距分析服务:
完成信息系统等级工作之后,我司将依据等级保护基本要求,通过文档审核、现场访谈、配置核查、漏洞扫描、渗透测试等方式开展差距分析工作。时代新威具有等级保护的专家团队,深入了解国家等级保护相关政策,熟悉等级保护测评的关键点,帮助客户将系统现状与安全评估指标进行逐一对比,并记录当前的现状情况,找到与评估指标之间的差距。完成《等级保护差距分析报告》。
等级保护建设整改咨询服务:时代新威将委派高级咨询顾问协助客户等级保护建设整改工作。依据客户等级保护差距分析报告及用户的安全目标、安全需求,咨询顾问将给出专家级的等级保护规划整改建议及详细的实施方案初稿,并依据实施方案协助用户开展整改工作。具体内容如下:
1.根据信息系统安全等级保护基本要求、差距分析报告、总体安全策略文件等提出系统需要实施的安全技术措施,给出需要采购产品清单。
2.根据等级保护基本要求、差距分析报告、用户总体安全策略文件等,帮助客户调整原有管理模式和管理策略,形成新的管理制度体系,满足等保要求。
3.指导用户对网络设备、安全设备、服务器和系统数据库进行全方位的加固。
4.时代新威还将协助聘请等级保护专家、行业专家、主管机关领导等专家,召开规划整改建议方案评审会,对规划整改建议进行评审,评审后,时代新威咨询顾问将参考专家评审意见修改,最终确定信息系统等级保护规划整改方案。
等级保护测评服务:
时代新威将委派等级保护测评工程师和攻防实验室专业技术人员共同完成等保测评工作,出具等级保护测评报告。