《GooAnn-合规管理系统-等级保护-白皮书_v1.3.pdf》由会员分享,可在线阅读,更多相关《GooAnn-合规管理系统-等级保护-白皮书_v1.3.pdf(22页珍藏版)》请在金锄头文库上搜索。
1、 2012 版版 北京北京谷安天下科技有限公司谷安天下科技有限公司 2011 年年 7 月月 GooAnn合规管理系统-等级保护 产品白皮书 2012 Gooann. All rights reserved. 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等 内容,除另有特别注明,版权均属北京谷安天下科技有限公司所有,受 到有关产权及版权法保护。任何个人、机构未经北京谷安天下科技有限 公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 2 内容目录 等级保护是国家信息安全管理的基本制度 3 等保合规
2、建设过程中遇到的问题 . 4 GOOANN的解决方案 . 6 产品功能详解 . 10 产品部署和实施过程 . 16 为什么选择GOOANN . 18 联系GOOANN . 21 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 3 等级保护是国家信息安全管理的基本制度 随着政府、企事业单位信息化水平的不断提高,诸如泄密、黑客入侵等信息 安全问题逐步凸现出来。近年来,国家层面越来越重视信息安全工作,确立了重 要信息系统等级保护是国家信息安全管理的基本制度。 1994 年国务院发布了中华人民共和国国务院令 (147 号) 中华人民共和国 计算机信息系统安全保护条例 。自此,国家
3、相关主管部门陆续发布了多项政策 及标准,等级保护作为国家信息安全保障整改建设的标准,逐步进入落地阶段: 2003 年中办国办联合发布的中办发200327 号文件关于转发国家 信息化领导小组关于加强信息安全保障工作的意见的通知; 2004 年公安部、 保密局、 国密办以及国信办联合发布的公通字200466 号文件关于信息安全等级保护工作的实施意见 ; 2005 年后公安部陆续发布了 信息系统安全等级保护实施指南 、 信息 系统安全等级保护定级指南 、信息系统安全等级保护基本要求 和 信 息系统安全等级保护测评指南 ; 2007 年公安部、保密局、国密办和国信办联合发布的公通字200743 号文件
4、信息安全等级保护管理办法 。 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 4 各政府、企事业单位都需要通过开展等级保护工作,推动等级保护整改建设 实施,使得相关信息系统能够达到相应等级的基本保护和防护能力,从而满足上 级部门的监管要求和政策法规的合规需求。 等保合规建设过程中遇到的问题 由于信息安全保障工作的专业性和复杂性, 各个单位在开展等级保护合规建 设的过程中都不同程度遇到了诸多问题。 GooAnn作为专业的信息安全咨询和服务机构,在协助政府、金融、电信、 央企等行业单位进行等级保护合规建设的过程中发现, 60%的单位不了解等级保 护建设工作如何开展,70%的单
5、位不熟悉、不理解相关标准要求,90%的单位 缺乏有效的工作手段来应对合规测评检查, 大多数单位缺乏相关的专业知识和解 决方案。 等级保护合规建设过程中通常遇到以下 5 大方面的问题。 等级保护工作无从开展 等级保护工作的定级、备案、建设整改、等级测评和监督检查五个阶段 工作如何开展?如何确保建设过程满足基本要求 、 实施指南? GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 5 信息系统定级备案是否准确、 完整?定级报告和备案表如何填报、 管理? 如何汇总各个系统的安全需求来建立安全规划?通过怎样的整改手段来 满足安全需要? 信息系统合规状况不明 当前信息系统与其所应达到
6、的保护基线相差多远?是否达到等级要求? 能否通过等级测评? 一个三级信息系统 10 个控制域、73 个控制点、290 个控制项,如何开 展信息系统差距自评估工作?如何利用之前的信息系统评估结果来开展 新一轮的差距评估工作? 差距自评估过程中,如何对等保要求指标进行正确适当的理解?如何判 断当前安全保障措施是否满足了等保要求? 整改建设职责落实不力 等级保护建设工作不只是安全部门的工作,还需要各个部门协同进行, 如何将工作职责分解落实到具体责任部门、责任人之上? 各个整改任务的进展如何?责任部门如何定期报送工作进展?如何跟踪 汇总各个整改任务的完成情况? 等保业务数据管理混乱 信息系统、资产清单
7、、制度文档等基础数据收集是否完整?是否可长期 保存、共享? 在差距评估的过程中,相关证据材料如何 收集归档?如何将其方便快速的调阅呈现 出来? GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 6 准备进行测评时,相关文档如何归类整理?测评结果如何归档管理? 等级保护相关政策标准如何汇总管理? 等保工作效果展示不清 如何汇总展现不同方面的自评估结果?有哪些不符合项和部分符合项? 在哪个方面的差距最大,哪个方面符合程度较高?差距自评估报告如何 能方便的撰写? 如何清晰有效的向领导汇报等保建设的相关工作、当前各个信息系统的 合规状态? 如何监督管理指导下级单位的等保定级备案、测
8、评、整改等工作情况, 如何统计汇总下属各单位的相关信息。 GooAnn的解决方案 在多年信息安全咨询经验和诸多成熟客户案例的基础上,GooAnn推出了 GooAnn-合规管理系统-等级保护(CPCompliance v3.0)软件产品,作为帮助 支持广大信息系统运营单位应对等级保护合规需求的信息化解决方案。 产品设计原则 GooAnn-“合规管理系统-等级保护”软件产品在知识经验、流程化管理、 信息化支撑三个层面为各组织顺利的进行等保合规工作提供了有效的工具支持。 GooAnn-“合规管理系统-等级保护”包含丰富的知识库,这些知识经 验能够帮助用户了解、掌握和解决等级保护评估、整改、建设过程中
9、遇 到的有关问题。 GooAnn-“合规管理系统-等级保护“覆盖等级保护的定级、评估、规 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 7 划、 实施和管理等全部过程, 用户只需按照系统内置流程进行相关操作, 即可按部就班地在组织内开展和落实等级保护工作。 GooAnn-“合规管理系统-等级保护“通过系统管理等级保护业务相关 的资料、文档,协同相关责任人员完成自评估、整改任务工作,可以降 低信息安全主管人员的工作压力,落实明确任务职责,提高等级保护工 作的效果和效率。 产品设计框架 GooAnn-“合规管理系统-等级保护“覆盖了信息系统运营使用单位等级保 GooAnn-
10、“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 8 护合规建设工作的全生命周期管理。从基础信息收集开始,信息系统定级备案; 之后进行差距评估,形成安全建设需求,制定整改规划;其次进行整改建设工作 落实;而后是迎接外部监督测评检查;测评检查的结果又会与差距评估结果一起 形成新的建设需求, 重新制定整改规划, 进行整改建设工作, 直到信息系统废止。 软件实现了信息安全管理工作的 PDCA 循环,用户只需要按照系统各模块逐步 开展工作,即可顺利完成等级保护建设的常态化工作。 产品价值体现 丰富的知识库:GooAnn-“合规管理系统-等级保护“知识库包括等级保护 政策标准库、安全要求指标库、安
11、全实践参考库、安全技术方案库、安全管理制 度库、安全整改方案库、安全意识方案库等信息安全相关知识经验。 多样的效果展示:GooAnn-“合规管理系统-等级保护“在等保各个阶段工 作中都包含统计分析模块,通过图形化、多视角地汇总、统计、报告相关信息, 可以直观地呈现、展示等级保护工作的状态和效果。 集中的数据管理:GooAnn-“合规管理系统-等级保护“中的基础信息、定 级备案、测评管理等模块全面管理等级保护业务数据。信息化平台使得业务数据 得以在组织内部汇总、管理、共享、查询。用户不再为汇集、整理大量的等保资 料、合规证据等数据而苦恼。 清晰的展现系统合规状态:GooAnn-“合规管理系统-等
12、级保护“中的差距 评估模块致力于解决用户对当前信息系统合规状况不了解不清楚的问题。 专业化 差距评估结果能够准确的反映出信息系统与等级保护要求之间差距, 为后续的整 改建设、应对测评检查提供依据。同时,周期性的差距评估结果能够体现出信息 系统合规程度不断提高的过程,从而很好的展现等级保护工作的效果。 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 9 有效的保障等保工作落实:GooAnn-“合规管理系统-等级保护“中的整改 规划模块提供了大量等保整改工作相关的知识库,结合安全需求,可以形成完善 的整改规划,使得用户不再感觉整改工作没有头绪、无从下手。整改落实模块帮 助用户
13、将各项工作任务落实到具体责任部门, 通过任务进度跟踪来实时监控任务 执行情况,督促落实,帮助安全部门协同各部门共同做好等保建设工作。 集中的监督管理:GooAnn-“合规管理系统-等级保护“基于 B/S 架构的信 息管理系统,支持分布式部署,支持多角色用户使用。其中的集团监管模块可以 随时汇总、统计、监督、检查各下级单位的信息系统定级备案、差距评估、整改 规划、整改落实、测评结果等方面的工作开展情况,集团管理者不再担心无法统 计数据,无法展现工作成果。 产品版本划分 GooAnn-“合规管理系统-等级保护“软件产品针对不同成熟度、不同使用 范围用户,分为标准版、企业版和集团版三个版本。 标准版
14、软件包括有基础信息、定级&备案、差距评估等模块,适用于中小型 规模单位用户,可以实现信息系统相关资料归集、信息系统定级、及等保合规状 况分析等功能。 企业版软件在标准版基础之上, 增加了整改规划分析、 整改落实跟踪和汇总、 测评管理、系统废止等模块,增加了等保整改流程参考、技术方案设计要求对比 与示例参考、安全功能及产品类型参考库、等保整改方案参考库、安全管理制度 参考库、基本安全配置参考库、安全意识教育参考库等大量等保规划、建设过程 中所必须的知识库,涵盖了定级、备案、测评、整改建设、监督检查 5 个环节的 等级保护建设工作,全面满足信息系统运营使用单位等级保护建设工作的需要。 GooAnn
15、-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 10 集团版软件是为集团型用户设计的。 集团型用户的各个子单位部署企业版软 件,用以完成本单位的等级保护建设工作;上级单位通过部署集团监管模块,可 以收集汇总统计各下级单位的相关信息,诸如各下级单位信息系统定级情况、 信 息系统差距评估符合情况,整改规划和落实情况,测评检查情况等。全方位实时 展示出集团等保合规状态和等保建设工作成果。 产品功能详解 基础信息 单位信息:记录系统的主管单位信息,包括所属行业类别、负责人信息、责任部 门、隶属关系、单位类型、所拥有的信息系统总数等功能。支持公安部等级保护 备案端软件数据的导入。 信息系统管理
16、:记录管理各个信息系统的基本信息,包括系统名称,系统承载业 务情况,系统服务情况等,管理系统拓扑结构图。 资产收集管理:按照业务应用软件、主机存储设备等七大类收集管理系统相关资 产信息,支持资产收集批量导入。 资料文档库:管理维护等级保护工作相关的资料文档,包括有相关标准、政策文 件库,上级通知文件,本单位相关制度等。 等保资料知识库:系统提供 40 余份等级保护相关的政策法规、国家标准,包括 各主管部门历次发布文件、管理技术相关要求标准、等保相关指南(定级、实施、 基本要求等) 。 定级&备案 系统定级:依照信息系统安全等级保护定级指南 ,软件内置“信息系统定级 GooAnn-“合规管理系统-等级保护”产品白皮书 谷安天下版权所有 11 向导“,从业务信息安全和系统服务两个方面分析,确定安全等级和保护基
