一.概述
信息安全等级保护是国家信息安全保障的基本制度,等级保护的整体实施工作包括等级保护定级与备案、等级保护差距分析、系统安全建设与整改、等级测评等几个阶段。定级是等级保护实施的基础性工作,是进行相应等级安全建设的依据。用户完成定级工作之后,更主要的是依据等级保护基本要求,进行等级化安全体系的设计与建设,最终符合国家等级保护的基本要求。用户必须在深入理解定级的根本要求、充分调查评估信息资产价值和安全风险的基础上才能完成准确定级,形成整改建议方案,最终顺利通过专家评审。
同时等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,推出等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,协助用户完成等级保护的实施和建设,为用户信息安全保障体系“保驾护航”。
二等级保护整体工作阶段
通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,具体内容见下图:
图 等级保护工作流程图
等级保护各个阶段将协助用户完成上图的任务和工作。具体包括:
●等级保护定级备案
对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后完成保护等级的备案工作。
●等级保护差距分析
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
●等级保护整改建议方案
根据评估的结果和信息系统确认的保护等级,结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求,调整相应的安全保护措施,并完成等级保护整改建议方案的设计。
●等级保护整改实施
启明星辰将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。
●等级保护测评
在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务将协助用户完成等级保护测评工作。
●等级保护检查
在信息系统进行完成定级和整改实施之后,用户需要对信息系统的安全技术和安全管理上各个层面的安全控制进行检查,并准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。