近年來,國內外信息安全形勢日趨嚴峻,2014年初中央網絡安全和信息化領導小組的成立,標志著網絡安全已上升至國家安全高度。隨著國家信息安全監管力度的不斷提升,對于政府機構、大型企業這樣的集團型組織來講,信息安全監管工作也面臨著諸多挑戰,如信息安全工作碎片化情況嚴重、監管要求來源多時效性強疲于應對、基層單位落實工作缺乏指導、落實效果難以評價等,導致信息安全監管工作缺乏體系性,工作主線不明晰,安全要求和落實標準難以明確,信息安全監管工作缺乏工作抓手,推動落實缺乏驅動力等,在實際工作中普遍存在信息安全工作整體性、有序性、執行力欠缺的困惑。
集團型企業面臨內外部諸多安全訴求,并且要求越來越高、越來越緊迫,且信息安全業務自身發展規律的需要下,信息安全工作重心需從信息安全管理提升到信息安全管控。信息安全管控工作是個綜合性工作,要做好這項工作,需要有明確的信息安全目標、清晰的信息安全管控要求、通暢的管控工作機制、有效的驅動手段、信息化的工作抓手平臺、自動化的技術檢查工具、持續性的安全運行落實,才能保證管控工作的有效落實,監到點,管到位,真正做到“踏石留印、抓鐵有痕”。
針對這種情況,易聆科自主開發了一體化信息安全管控系統,旨在為用戶強化信息安全管控能力的建設,構筑有效的管控體系,引導各級單位合規有序的進行信息安全建設,保障信息安全管理和技術要求在各級單位的落實效果,確保信息安全防護體系落實和信息安全目標達成。
系統功能框架如下圖所示:
產品特點
1 全面覆蓋安全管控業務范疇
本解決方案涵蓋了信息安全管控工作所有業務范疇,包括安全規劃、指導、落實、督查、評價考核、改進更新等環節,以及日常安全運行,并通過信息安全管控工作機制為主線將各業務模塊無縫聯接起來,確保信息安全管控工作全面完整。
2 多要素協同推進安全管控工作
依據易聆科在信息安全管控領域多年的實踐經驗,分析總結出保障信息安全管控工作的多種工作資源要素,如信息化工作抓手平臺、咨詢設計、安全服務、產品集成等,互相配合,相互作用,協同推進安全管控工作踏實落地、常態運轉。
3 信息安全合規庫確保落實有效
經過多年積累,易聆科目前擁有針對不同行業用戶的信息安全合規庫(如政府版、行業版),囊括了用戶單位應滿足的所有外部安全合規要求,以及落實這些要求對應的實施措施、檢查方法,使用戶單位的信息安全建設有章可循、有據可依,大大降低了用戶的人力、技術要求,確保落實不留死角、不留空白,全面有效。
4 安全管控工作智能化
通過信息化的安全管控系統,將管控和落實過程可視化,形成安全態勢供輔助決策,使安全管控工作和日常安全運行工作智能化、可視化。
5 靈活適應不同業務需求
基于多層級、模塊化的解決方案設計,可以靈活適應不同層次關系、不同規模的用戶單位,支持集中管控、業務強管控、委托管控等不同模式的信息安全管控體系,解決方案中的各個模塊,即可獨立應用,也可組合應用,或者逐一推進實施。
6 與技術工具無縫集成
信息化系統支持與業界主流的多數安全產品的集成接口,包括安全檢查類產品、安全防護類產品、安全監測類產品、安全審計類產品,如漏掃工具、配置核查工具、IPS、IDS、WAF、抗DDos等,解決信息孤島問題,保證客觀數據貫通應用。
√ 明晰管控工作主線
通過信息化工作平臺,固化工作流程,牽引工作事項,明晰信息安全管控工作主線,解決普遍存在的信息安全工作碎片化、工作沒有主線的問題。
√ 明確安全管控要求
通過信息安全合規庫的建設,明確組織的信息安全各領域合規要求,全面完整精細,合規部門有據可依,落實部門有章可循,使安全管控工作不留死角,不留空白。
√ 有效指導落實工作
信息安全合規庫不僅給出了全面的安全要求,還提供了滿足安全要求的具體實施方法,能夠有效指導落實單位準確落實安全要求。
√ 量化評價落實效果
通過合規要求落實程度評分標準,可以科學、客觀、量化的評價各單位的合規落實水平,用戶能夠精確把握當前信息安全落實態勢,準確發現薄弱領域。
√ 落實責任有效驅動
通過安全要求責任人歸屬,通報問責,以及安全問題整改跟蹤等機制,使各級單位部門和個人有責負責盡責,驅動信息安全落實工作的積極開展。
√ 有序推動安全建設
能夠展現整體安全態勢,并且分析發現薄弱環節,有針對性的進行信息安全建設,防止各級單位無序、無效、重復建設,提升用戶信息安全建設效率。
√ 安全管控閉環管理
實現了整個安全管控工作從規劃、指導、落實、評價、改進全流程、各環節的管控,規范了工作流程,保證組織的信息安全工作在一個正確的軌道上運行,不發生大的偏離,提升了組織的一體化管理水平,并能夠不斷在積累中自我提高,自我完善。
√ 提升管控工作效率
通過一體化信息安全管控系統,以及配套技術工具的對接,大大提升了安全管控、安全運行的工作效率,節約了用戶人力和時間,使安全管控和安全運行工作常態化。
