等級保護咨詢及整改服務案例
項目背景
������
某中心是全市綜合經濟運行管理的重要決策咨詢和信息服務機構,隸屬于當地的發展和改革委員會。負責全市經濟信息系統建設的規劃和組織,統一管理信息網絡的開發和利用;向市委、市政府及綜合部門提供經濟信息、經濟形勢分析預測;為各部門采用先進手段開展業務和處理事務提供技術和信息支持,開展公眾信息咨詢服務和國內外的信息交流。
���
為貫徹和響應國家及行業等級保護相關文件要求,保護應用系統的安全性,不斷提升核心競爭力,某中心依據《中華人民共和國網絡安全法》和《信息安全技術 網絡安全等級保護基本要求》等相關要求開展等級保護測評工作,并委托圣博潤對向市委/市政府及綜合部門提供經濟信息和經濟形勢分析預測、向社會公眾發布政務信息的重要網站、云平臺等五個重要應用系統進行定級備案、安全評估、差距分析、安全整改、應急演練等工作。
解決思路
������
圣博潤根據中心應用系統安全的實際情況和要求,成立項目組,制定項目實施方案。通過采取人員訪談、文件審核、現場調研等方法,對五個應用系統進行系統定級、系統備案、安全評估,采用工具結合人工分析的方式對五個應用系統進行滲透測試,同時使用圣博潤脆弱性掃描系統對78臺資產設備進行漏洞掃描查找安全隱患。在評估過程中對發現的問題進行差距分析,出具整改建議,并協助某中心開展整改工作,結合國家和行業法律法規、政策、標準,制定符合某中心安全管理要求、可落實、符合等級保護相關要求的安全管理制度體系。
������
為驗證應急預案的適用性,找出應急預案存在的問題,建立和保持可靠的信息渠道及應急人員的協同性,確保所有應急組織都熟悉并能夠正確履行其職責,組織某中心、產品供應商、網絡安全服務商等開展網絡安全應急預案的培訓和演練;演練結束后,針對這次演練活動進行認真總結,同時建議某中心針對應急演練中出現的問題及時進行整改,對各崗位的責任制再次加以明確和落實。
用戶收益
����
通過本項目的實施,全面發現了某中心各類應用系統資產和系統的安全隱患,并針對性的提出安全整改建議與協助整改,使某中心充分了解到網絡安全工作的重要性,加強了某中心發現安全問題和處理安全問題的能力,保障了某中心系統定級的準確性和系統備案的實操性,并為安全管理體系的持續改進,提供了支撐和指導,全面提升網絡和信息安全管理水平。
