Share-Win 科技依据 GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 国家等级保护制度的要求和对网络信息安全的实际需求,根据“等级化安全体系”的理念,采用体系化和等级化相结合的方法,协助用户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1. 系统识别与定级:通过分析蓬江区各应用系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
3. 安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4. 确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
5. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
6. 安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
7. 安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。
通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
|
