天融信等级保护方案 等保评估服务(完整版).pdf

天融信等级保护方案 等保评估服务(完整版) .天融信等级保护解决方案 天融信通过自身的安全产品、安全服务，可协助用户完成等级保护各个阶段 的建设，确保用户严格按照等级保护的过程规划并建设自己的安全保障体系，更 好地支撑应用和业务的开展，具体提供的服务包括： •等保定级服务：在用户等级保护建设的定级阶段提供，天融信将协助用户对 信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定 后协助用户完成保护等级的备案工作； •等保评估服务：在用户等级保护建设的规划阶段提供，天融信针对用户的信 息系统进行全面的评估，根据评估的结果和信息系统确认的保护等级，结合 “信 息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求，调整相 应的安全保护措施，并完成安全保障系统的整体规划； •等保管理整改服务：在用户等级保护建设的整改阶段提供，天融信将根据等 级保护基本管理要求，结合用户的实际需求，协助用户建设相应的组织体系、策 略体系、运行体系，从而全面提升用户安全管理的层次和能力； •等保技术整改集成：在用户等级保护建设的整改阶段提供，天融信将根据等 级保护基本技术要求，结合用户的实际需求，协助用户完成安全设备的选型、采 购、安装、策略配置等活动，协助用户搭建完善的技术防护系统，保障应用系统 的安全可靠； •等保测评支持服务：在用户等级保护建设的测评阶段提供，在完成等级保护 整改活动后，天融信将协助用户，准备测评材料，在测评过程中提供技术支持服 务。 1.2.天融信等级保护定级 在用户等级保护建设的定级阶段提供。 系统定级是进行等级保护规划和建设的前提，是等级保护建设的起点，目前 国家已出台文件要求各行业用户根据自己的实际情况，进行信息系统的划分和定 级，天融信可协助用户对信息系统进行识别和描述，明确保护对象，对信息系统 的子系统进行划分，确定用户信息系统以及子系统的安全等级。 第 1 页第 1 页 天融信等级保护方案 等保评估服务(完整版) 定级阶段，天融信将根据国家相关主管部门的要求和指南，协助用户完成定级对 象确认、划分子系统以及子系统的定级和备案工作。 1.3.天融信等级保护评估 在用户等级保护建设的规划阶段提供。 对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也 是对信息系统进行安全建设和管理的重要组成部分。通过等级评估可以发现信息 系统的安全现状与需要达到的安全等级或目标的差异，使信息系统的管理和使用 单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统安全 工作有的放矢，天融信通过专业的等级评估服务，协助用户完成以下的目标：  •了解信息系统的管理、网络和系统安全现状；  •确定可能对资产造成危害的威胁；  •确定威胁实施的可能性；  •对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别， 确定哪些资产是最重要的；  •对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；  •明确信息系统的已有安全措施的有效性；  •明晰信息系统的安全管理需求；  •根据评估结果提出针对性的等级保护建设/整改方案。 1.4.天融信等级保护整改 在用户等级保护建设的整改阶段提供。包括等级保护的管理整改和技术集成 两类。 1.4.1 天融信等级保护管理整改服务 天融信根据用户当前安全管理需要，根据用户的管理特点，针对等级保护所 要求的组织安全、管理制度、人员安全、系统建设和系统运维，从人员、制度、 运作、规范等角度，进行全面的整改，提升用户信息系统管理的能力，避免人为 因素给系统带来的威胁，符合等级保护对管理的要求。该阶段的活动包括管理方 案设计、组织设计、制度规划、系统管理规划、应急预案制定及预演等。 1.4.2 天融信等级保护技术整改集成 天融信根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全 策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，从网 络安全、主机安全、应用安全和数据安全的角度，根据等级保护基本要求，整合 多种技术手段，通过整改集成形成最终的安全防护体系，有力保障用户信息系统。 该阶段的活动包括安全详细方案设计、安全技术实施、等级保护自测评等工作。 1.5 天融信等级保护测评 在用户等级保护建设的测评阶段提供。 信息系统