等保建设
等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”。我司参照《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)及行业等级保护标准要求,协助客户完成信息系统定级备案、安全评估、差距分析、安全整改、协助测评和等级保护培训等工作,确保客户方重要信息系统符合国家和行业关于信息安全等级保护的监管要求,具备足够的信息安全保障能力。
服务内容:
➢ 定级备案
我司协助客户对信息系统进行定级,初步确定了安全保护等级后,将由上级主管部门对定级结果进行审核和批准,保证定级结果的准确性。对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级报告。
➢ 安全评估
我司采用人员访谈、人工审计、漏洞扫描、渗透测试的方式,从安全管理和安全技术两个方面对客户信息系统进行安全评估,安全管理方面包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面,安全技术方面包括物理安全、网络安全、主机系统安全、应用安全、数据安全五个方面存在的漏洞和弱点进行识别和分析。
➢ 差距分析
我司将根据安全评估的结果进行差距分析。通过对照检查、人工分析等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距。从安全控制差距分析、系统整体差距分析两个方面确定信息系统安全整改需求,安全控制差距分析又分为安全技术差距分析和安全管理差距分析两大类;系统整体差距分析方面,主要分析信息系统的整体安全性。
➢ 安全整改
形成差距分析之后,将进行安全整改建设,以满足国家等级保护的基本要求,提高客户单位信息系统的安全保障能力和防护水平。整改建设包括管理安全整改建设和技术安全整改建设两个方面。
➢ 协助等级测评
在安全整改建设完成后,我司根据《信息安全等级保护基本要求》、《信息安全等级保护测评指南》,并根据测评机构选取的测评范围、测评对象、测评强度、测评方法,以现场配合的方式来协助客户选定的等级保护测评机构完成等级保护测评工作。尽可能的避免或减少测评工作对客户系统和正常业务开展带来的影响。
服务价值:
- 符合国家法律法规要求,规避相关风险
- 发现被测系统与等保当前级别的差距,在整改的过程中提高企业安全能力
解决方案
安全服务
IT服务
关于德瑞
联系我们
扫一扫,关注我们
