御盾信息安全合規方案，筑牢數字化轉型“安全底座”

　　摘要：我們根據客戶(hù)需求并遵循國家信息安全等級保護的要求，為客戶(hù)提供標準有效的一站式等保咨詢(xún)服務(wù)和建設整改方案，這不僅是貫徹落實(shí)國家網(wǎng)絡(luò )安全等級保護制度要求的有力舉措，同時(shí)能夠完善客戶(hù)信息系統安全保障體系，提高信息系統的安全防御能力，更好地抵御網(wǎng)絡(luò )攻擊、保障客戶(hù)數字化相關(guān)業(yè)務(wù)的發(fā)展。

　　一、項目背景

　　網(wǎng)絡(luò )安全是我國國家安全的重要組成部分，根據公安部門(mén)的要求，需要全面開(kāi)展網(wǎng)絡(luò )安全等級保護定級備案、建設整改和等級測評等工作，需明確網(wǎng)絡(luò )安全保障重心，落實(shí)網(wǎng)絡(luò )安全責任，建立網(wǎng)絡(luò )安全等級保護長(cháng)效機制，以切實(shí)提高網(wǎng)絡(luò )安全防護能力、隱患發(fā)現能力、應急處置能力，為客戶(hù)信息化健康發(fā)展提供可靠保障，同時(shí)維護公共利益、社會(huì )秩序和國家安全。

　　二、項目需求

　　1、系統情況

　　DigiPrime系統是客戶(hù)研發(fā)的一款適用于（Direct to Consumer）場(chǎng)景的數字化平臺，包含線(xiàn)上渠道、線(xiàn)下門(mén)店、商品管理、支付交易、運力管理、風(fēng)控和數據管理等模塊，通過(guò)對公司的介紹和業(yè)務(wù)信息的展現，讓公眾瀏覽者對公司的數字化業(yè)務(wù)和DTC直接連接客戶(hù)服務(wù)有所了解，幫助企業(yè)快速開(kāi)展數字化業(yè)務(wù)。

　　2、建設目標

　　貫徹落實(shí)國家信息安全工作部署，完善客戶(hù)信息系統安全技術(shù)防護措施、安全管理制度和安全運維體系，全面建設完整的信息安全防護體系，順利通過(guò)信息系統等級測評，為客戶(hù)信息化的健康快速發(fā)展保駕護航。

　　三、服務(wù)方案

　　根據客戶(hù)需求，御盾為客戶(hù)提供了一站式等保咨詢(xún)服務(wù)和完整的建設整改方案，既可以充分滿(mǎn)足國家信息安全等級保護相關(guān)標準的要求，又能夠有效抵御安全風(fēng)險，為客戶(hù)信息系統提供有效保護。

　　1、系統定級與備案

　　依據《網(wǎng)絡(luò )安全等級保護定級指南》對客戶(hù)信息系統和網(wǎng)絡(luò )現狀進(jìn)行調研與分析；明確系統邊界，識別數據和應用的重要程度，結合國家對等保的要求及規定，定義出符合企業(yè)自身現狀的等保級別，確定客戶(hù)系統的業(yè)務(wù)信息安全保護等級為第三級；編寫(xiě)定級報告和定級備案表，經(jīng)過(guò)評審后，向公安機關(guān)備案。

　　2、風(fēng)險評估與差距分析

　　根據信息系統定級結果以及等級保護基本要求，選擇適當的安全保護指標；對信息系統及運行環(huán)境進(jìn)行差距分析工作，識別威脅和弱點(diǎn)，挖掘安全物理環(huán)境、安全區域邊界、安全計算環(huán)境、安全通信網(wǎng)絡(luò )、安全管理中心、管理等各層面安全風(fēng)險；通過(guò)將系統安全現狀與安全評估指標進(jìn)行逐一對比，記錄當前的現狀情況，找到與評估指標之間的差距，判斷安全技術(shù)和安全管理方面與評估指標的符合程度；在此基礎上將差距分析的結果文檔化，形成差距分析報告并提出改進(jìn)建議。

　　3、  安全建設規劃

　　根據差距分析結果，從管理和技術(shù)兩個(gè)方面確定信息系統安全建設整改需求，在明確安全需求的基礎上，對安全體系進(jìn)行總體設計并規劃安全建設項目。

　　4、  安全方案設計

　　根據安全建設規劃，進(jìn)行詳細的方案設計和安全產(chǎn)品選擇，形成可實(shí)施的詳細方案。根據建設目標和建設內容將總體設計和建設規劃中要求實(shí)現的安全策略、安全技術(shù)體系結構、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠實(shí)現的產(chǎn)品或組件及其具體規范，并將產(chǎn)品功能特征整理成文檔；根據用戶(hù)當前安全管理需要和安全技術(shù)保障需要提出與信息系統安全總體方案中管理部分相適應的本期安全實(shí)施內容，以保證安全技術(shù)建設的同時(shí)，安全管理的同步建設，安全管理設計的內容主要考慮：安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

　　5、  協(xié)助安全加固

　　根據等保差距分析的結果，對網(wǎng)絡(luò )設備、安全設備、操作系統、數據庫、應用系統進(jìn)行配置加固，提高系統安全性，滿(mǎn)足等保要求，并將加固記錄分析整理，形成安全加固報告。

　　6、  安全管理咨詢(xún)

　　協(xié)助用戶(hù)完善配套的安全管理職能部門(mén)，通過(guò)管理機構的崗位設置、人員的分工以及各種資源的配備，為信息系統的安全管理提供組織上的保障；協(xié)助用戶(hù)完善修訂與信息系統安全管理相配套的、包括所有信息系統的建設、開(kāi)發(fā)、運維、升級和改造等各個(gè)階段和環(huán)節所應當遵循的行為規范和操作規程；協(xié)助用戶(hù)根據自己組織結構特點(diǎn)進(jìn)行安全制度培訓、宣傳、推廣，確保安全制度的落地執行。

　　7、  輔助等級測評

　　協(xié)助客戶(hù)選擇適合其行業(yè)特點(diǎn)、具備等保測評資質(zhì)的第三方測評機構，并提交等保測評申請；根據測評要求，協(xié)助補充和準備測評所需的文檔資料；指派專(zhuān)業(yè)咨詢(xún)顧問(wèn)配合測評機構的現場(chǎng)測評工作，協(xié)助回答測評人員問(wèn)題，協(xié)助客戶(hù)搜集測評需要的制度、記錄等文檔，協(xié)助客戶(hù)完成國家等級保護測評；現場(chǎng)測評過(guò)程中可能會(huì )出現部分不符合項，咨詢(xún)顧問(wèn)針對這些不符合項進(jìn)行快速整改，確?？蛻?hù)順利通過(guò)測評。

　　8、  后期持續運維

　　等保測評通過(guò)后，保持對其持續運行維護（包含每年續證事宜、因政策變化而引起的變更調整、新增及調整需求等）。

　　四、服務(wù)價(jià)值體現

　　一方面提高了客戶(hù)IT安全管理水平，全面降低信息安全風(fēng)險，同時(shí)幫助客戶(hù)在行業(yè)中樹(shù)立良好的安全形象，同時(shí)更好地保障了客戶(hù)業(yè)務(wù)的發(fā)展，具有良好的經(jīng)濟效益和社會(huì )效益。

　　1、協(xié)助客戶(hù)滿(mǎn)足等級保護2.0的合規性要求，符合國家法律法規的相關(guān)規定。

　　2、統一規劃、統一建設、統一運營(yíng)，充分利用現有網(wǎng)絡(luò )資源和安全資源，節省投資，減少重復建設。

　　3、加強網(wǎng)絡(luò )安全建設，提高客戶(hù)的網(wǎng)絡(luò )安全防御體系，減少由病毒及黑客攻擊帶來(lái)的間接損失。

　　4、完善的網(wǎng)絡(luò )安全防護體系，有效防范網(wǎng)絡(luò )安全問(wèn)題引發(fā)的社會(huì )不良影響；實(shí)現客戶(hù)敏感數據的安全防護，降低網(wǎng)絡(luò )安全問(wèn)題可能引發(fā)的法律風(fēng)險。