GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

组织该如何落地一个等级保护项目

分享:
等级保护.jpg

如图所示,组织的等级保护落地实施可以通过以下几个步骤来完成:

1、定级和备案。企业或组织确认设定本组织的信息安全等保级别,按要求到相关的公安部门备案。

2、差距评估。根据设定的级别,逐项进行现状和级别要求之间的差距评估,这个可以通过对标的方式来做,使得今后改进做到有的放矢。

3、整改计划。通过制定整改计划和方案,来弥补差距达到等保的要求。

4、落实整改。从技术、管理和服务几个方面通过具体的项目实施来落实整改计划中的内容。

5、外部评测。按要求等保级别如果是三级以上的系统,需要组织外部专家评审。

6、持续改进。等保的实施是一个持续改进逐步提高的过程,是一个PDCA过程。

以下是一些重点步骤的核心工作介绍:

一、等级保护定级。具体依照以下几个过程来执行:1、确定定级的对象;2、确定业务信息安全(系统服务)受到破坏时所侵害的客体;3、综合评估对客体的侵害程度;4、确定业务信息(系统服务)安全等级;5、设定定级对象的安全保护等级。在这个过程中,要注意在4中,当业务安全等级和系统服务安全等级不同时,本着“就高不就低”的原则来定级。在这个阶段中定级对象的识别是需要特别关注的内容,要把握作为定级的对象要具有以下三个条件:1、具有唯一确定的安全责任单位,即这个对象要具有Owner;2、满足信息系统的基本要求,即是一组、一套有形的实体,避免将某一个单一系统组件如服务器、终端或者网络划分成对象;3、对象要承载相对独立的业务作用。这里需要说明一下,在实际中往往定级对象可能会与其他业务应用共享一些设备,尤其像网络设备,因此在这个时候的定级也是采用“就高不就低”。此外,因为定级的对象数量与企业日后因为评审核查的开销相关,因此在实际操作上还应该注意费用的问题,以免造成负担。系统对象的划分没有对与错之分,只有合理不合理的差异。

二、差距分析。包括三个内容:基线设置、分析过程和分析结果。目标是通过对标的方法发现不足。在等级保护中有S类、A类和G类之分,等级保护的要求特点是“范围增大、要求细化、粒度细化”。

三、整改规划。包括:体系设计、整改方案和实施规划三个内容。体系的设计需要针对以下五个问题:1、各系统单独保护将导致冲突和割裂,形成信息孤岛。这就要求组织从整体出发,引入体系的设计理念充分覆盖且不重叠,划分结果不可再分。2、复杂大系统的分解和差异性安全需求描述困难。这就要求我们在设计上要准确进行系统的分解描述,放映出实际特性和差异性的安全需求。3、因为各个系统安全独立建设,导致分散、重复和低水平现象。这就需要我们今后应该统一规划,集中建设,避免重复和分散,并能降低成本和提高建设水平。4、在建立长效机制方面考虑较少,难以持续。针对这个问题我么需要通过建立体系制度来保障。5、管理难度大,成本高。这个问题可以通过引入高水平的自动化管理工具还来实现。总之,等保体系设计的方法首先要“等级化”,突出重点,节省成本,适应不同行业不同发展阶段不同层次的需求。其次是“整体化”,做到结构化,内容全面,做到可持续发展。最后是“针对性”,针对实际情况,做到符合特色与需求。

四、整改落实。这里包括两个层面的整改落实:管理整改落实以及技术整改落实。只有从管理和技术全面落实整改规划,才能达到设计的满意效果。

关于外部评测和持续改进无特别的要点,不在此过多阐述。

 
分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77124

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯