等级保护合规服务
需求与挑战
法律要求
《网络安全法》于2017年正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,《网络安全法》规定,国家实行网络安全等级保护制度,将等级保护提升到法律高度;确定网络安全负责人,落实网络安全保护责任,实行网络安全责任制。因此,企业和组织有进行等级保护的责任。
监管要求
工信部、能源局、银保监会、证监会、卫计委等行业监管机构均将等级保护纳入业务监管范围,等级保护落实情况直接影响被监管单位的考评。
业务需求
网络安全形势愈发严峻。网络安全事件发生形式由原来个体之间、个体与组织之间为主转变为组织与组织、组织与国家之间为主,企业和组织安全压力不断加大。另一方面,企业和组织对信息系统的依赖程度不断加深,对信息安全提出更高的需求。因此,将见招拆招式安全设备采购转变为等级保护安全体系,对提高信息系统的整体安全防护水平有着十分重要的意义。
客户的烦恼
1、不清楚等级保护建设流程
等级保护项目周期长,涉及主体和关键节点多,组织者不清楚如何按时按需完成规定动作。

2、不善于跟监管部门打交道
监管部门视角与系统建设者和使用者不同,接口人不熟悉如何转变沟通视角和沟通方式。

3、如何让投资充分发挥作用
资金投入是有限的,投资者没有把握达到最佳投入产出比。

4、如何与业务系统紧密耦合
安全管控措施与业务流程不能两层皮,系统建设者没有将安全建设与系统建设运维耦合,安全管理与业务流程耦合的经验。
解决方案
定级备案服务
依据网络安全等级保护定级要求和流程,协助客户结合监管要求和行业特点对业务信息系统进行定级,并协助客户完成备案工作。
交付物:《等级保护定级报告》、《等级保护备案表》。
等级保护评估服务
按照等级保护协助完成人工检查、风险评估、漏洞扫描、渗透测试等工作,为用户精准完成等保评估工作。通过对照检查、人工分析等方法,分析目前已有安全保护措施与等级保护标准要求之间的差距。
交付物:《等级保护评估报告》
等级保护方案设计
技术专家针对不同企业特点设计整体解决方案。从管理安全和技术安全两个方面,提高企业信息系统的安保能力。同时,按照性价比最高的原则,提供完整的等级保护符合性设计及残余风险规避措施。
交付物:《等级保护建设方案》
系统测评保障
在正式系统测评前,系统测评保障专家在现场按照等级保护标准逐条对标,与客户进行模拟演练。使客户适应正式系统测评的工作节奏,能够配合测评中心完成系统测评工作,并顺利通过系统测评。
交付物:《等级保护对标核查报告》
安全培训
为企业提供等级保护和安全意识的培训服务。
交付物:《等级保护培训教材》。
客户收益
1依法履行《网络安全法》法律义务。
2符合业务监管要求。
3提升信息安全防护水平。