行业解决方案

等级保护建设方案

需求分析:

1.png


等级保护1.0时代:

1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。

2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。

2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。

2007年6月,四部门联合出台《信息安全等级保护管理办法》。

2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。

2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。

等级保护2.0:

2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。

2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”

以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。

2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。

等级保护2.0时代:

2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。

2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。


建设方案:

2.png


1.   系统识别与定级 : 确定保护对象, 通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2.   安全域设计 :根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。

3.   确定安全域安全要求 :参照国家相关等级保护安全要求,设计不同安全域的安全要求 。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。

4.   评估现状 :根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。 并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。 通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。

5.   安全保障体系 方案 设计 :根据安全域框架,设计系统各个层次的安全保障体系框架 以及 具体方案。包括: 各层次的安全保障体系框架形成系统整体的安全保障体系框架 ; 详细 安全技术设计、安全管理设计 。

6.   安全 建设: 根据方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级保护 相应等级的基本要求 ,实现按需防御 。

7.   持续 安全运维: 通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求 。


公司总机

028-85256723

公司地址:

四川省成都市武侯区天府三街新希望国际B座611

企业邮箱:

2355410072@qq.com

成都联杰易达科技有限公司 版权所有 蜀ICP备17019999号-1 | 技术支持:明腾网络 站长统计