>  信息系统等级保护咨询
博诚盈合信息系统等级保护咨询服务

    博诚盈合信息系统等级保护咨询服务采用DAP2OC方法论,遵循国家等级保护标准要求,包括《定级指南》、《基本要求》、《实施指南》、《测评指南》及相关重要政策,按照系统定级、安全评估、管理体系规划、技术体系规划、实施运作等五个步骤对信息系统进行定级,构建和实施信息安全体系,最终达到等级保护要求,并辅导客户通过等级测评。

   

博诚盈合信息系统等级保护咨询服务内容
    
    1. 信息系统识别阶段

    通过前期的调查和访谈工作,了解到机构的信息系统基本情况,并明确信息系统的安全责任主体,明确信息系统的边界,即确定定级对象及其范围;清楚系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度;根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。最终对收集的信息进行梳理、分析,形成对信息系统的总体技术文件。

    2.信息系统划分阶段

    依据系统识别描述的结果,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,将信息系统划分为相对独立的信息系统并作为定级对象,在信息系统总体描述文件的基础上,进一步增加信息划分信息的描述。

    3.安全等级确定阶段

    定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。针对不同规模、不同复杂程度、不同隶属关系的信息,博诚盈合公司咨询顾问协助客户采取适合的划分方法对系统进行准确、合理、科学的定级。
   
    4.安全评估阶段

    通过访谈、调查问卷、文档检查、现场勘察、记录分析等方式进行安全技术和安全管理方面的评估,判断其各个方面与等级保护相应等级基本要求之间的差距,给出差距分析结果,提出信息系统的安全保护需求。

    5.管理体系规划设计阶段

    针对信息系统的安全需求,规划设计管理体系,包括组织体系、制度体系和运维体系。
  1. 组织体系:信息安全组织是信息系统安全等级保护要求落实的关键和保障,由信息安全领导小组、信息安全管理组织和信息安全执行工作组织构成;
  2. 制度体系:信息安全制度由信息安全方针、安全策略、安全制度、操作规程和表单形成体系化的管理框架;
  3. 运维体系:由系统运维级别划分、系统运维的工作范围、运维工作的汇报、问题处理、运维过程控制等部分内容构成。
   
    6.技术体系规划设计阶段

   
    针对信息系统的安全需求和信息安全方针策略,规划设计技术体系,包括技术防护体系、技术管控体系和技术恢复体系。
  1. 技术防护体系:属于事前保护措施,侧重于预防保护,由物理安全、网络安全、主机安全、应用安全和数据库安全组成起全方位多层次的防御体系;
  2. 技术管控体系:属于事中保护措施和全局管控,由评估评测、安全审计、安全监控和安全管理组成;
  3. 技术恢复体系:属于事后保护措施,确保能够从安全事故或灾难中恢复过来,由备份系统、容灾系统和自动恢复组成。

    7.实施运作阶段

    根据管理体系规划设计和技术体系规划设计的成果,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
  1. 在时间和经费上对安全建设项目进行总体规划,分到不同时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划;
  2. 按照安全建设项目计划落实建设目的,内容包括组织运作、制度实施和技术产品采购及实施。

    8.等级评测阶段

    协助客户配合由国家认可的评测机构开展评测工作。