近年來(lái),國(guó)內(nèi)外信息安全形勢(shì)日趨嚴(yán)峻,2014年初中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立����,標(biāo)志著網(wǎng)絡(luò)安全已上升至國(guó)家安全高度。隨著國(guó)家信息安全監(jiān)管力度的不斷提升���,對(duì)于政府機(jī)構(gòu)����、大型企業(yè)這樣的集團(tuán)型組織來(lái)講��,信息安全監(jiān)管工作也面臨著諸多挑戰(zhàn)��,如信息安全工作碎片化情況嚴(yán)重�����、監(jiān)管要求來(lái)源多時(shí)效性強(qiáng)疲于應(yīng)對(duì)��、基層單位落實(shí)工作缺乏指導(dǎo)、落實(shí)效果難以評(píng)價(jià)等���,導(dǎo)致信息安全監(jiān)管工作缺乏體系性�����,工作主線不明晰�����,安全要求和落實(shí)標(biāo)準(zhǔn)難以明確��,信息安全監(jiān)管工作缺乏工作抓手��,推動(dòng)落實(shí)缺乏驅(qū)動(dòng)力等�,在實(shí)際工作中普遍存在信息安全工作整體性�、有序性、執(zhí)行力欠缺的困惑��。
集團(tuán)型企業(yè)面臨內(nèi)外部諸多安全訴求����,并且要求越來(lái)越高、越來(lái)越緊迫����,且信息安全業(yè)務(wù)自身發(fā)展規(guī)律的需要下���,信息安全工作重心需從信息安全管理提升到信息安全管控���。信息安全管控工作是個(gè)綜合性工作�,要做好這項(xiàng)工作��,需要有明確的信息安全目標(biāo)�����、清晰的信息安全管控要求�、通暢的管控工作機(jī)制、有效的驅(qū)動(dòng)手段����、信息化的工作抓手平臺(tái)、自動(dòng)化的技術(shù)檢查工具����、持續(xù)性的安全運(yùn)行落實(shí),才能保證管控工作的有效落實(shí)�,監(jiān)到點(diǎn)�,管到位�����,真正做到“踏石留印�、抓鐵有痕”。
針對(duì)這種情況����,易聆科自主開發(fā)了一體化信息安全管控系統(tǒng),旨在為用戶強(qiáng)化信息安全管控能力的建設(shè)��,構(gòu)筑有效的管控體系�����,引導(dǎo)各級(jí)單位合規(guī)有序的進(jìn)行信息安全建設(shè)��,保障信息安全管理和技術(shù)要求在各級(jí)單位的落實(shí)效果�,確保信息安全防護(hù)體系落實(shí)和信息安全目標(biāo)達(dá)成。
系統(tǒng)功能框架如下圖所示:
產(chǎn)品特點(diǎn)
1 全面覆蓋安全管控業(yè)務(wù)范疇
本解決方案涵蓋了信息安全管控工作所有業(yè)務(wù)范疇���,包括安全規(guī)劃����、指導(dǎo)、落實(shí)���、督查����、評(píng)價(jià)考核���、改進(jìn)更新等環(huán)節(jié),以及日常安全運(yùn)行����,并通過信息安全管控工作機(jī)制為主線將各業(yè)務(wù)模塊無(wú)縫聯(lián)接起來(lái),確保信息安全管控工作全面完整����。
2 多要素協(xié)同推進(jìn)安全管控工作
依據(jù)易聆科在信息安全管控領(lǐng)域多年的實(shí)踐經(jīng)驗(yàn),分析總結(jié)出保障信息安全管控工作的多種工作資源要素�,如信息化工作抓手平臺(tái)、咨詢?cè)O(shè)計(jì)����、安全服務(wù)、產(chǎn)品集成等�,互相配合����,相互作用�,協(xié)同推進(jìn)安全管控工作踏實(shí)落地、常態(tài)運(yùn)轉(zhuǎn)�����。
3 信息安全合規(guī)庫(kù)確保落實(shí)有效
經(jīng)過多年積累��,易聆科目前擁有針對(duì)不同行業(yè)用戶的信息安全合規(guī)庫(kù)(如政府版���、行業(yè)版)����,囊括了用戶單位應(yīng)滿足的所有外部安全合規(guī)要求�����,以及落實(shí)這些要求對(duì)應(yīng)的實(shí)施措施����、檢查方法,使用戶單位的信息安全建設(shè)有章可循、有據(jù)可依�,大大降低了用戶的人力、技術(shù)要求�,確保落實(shí)不留死角、不留空白���,全面有效���。
4 安全管控工作智能化
通過信息化的安全管控系統(tǒng),將管控和落實(shí)過程可視化�����,形成安全態(tài)勢(shì)供輔助決策�����,使安全管控工作和日常安全運(yùn)行工作智能化���、可視化。
5 靈活適應(yīng)不同業(yè)務(wù)需求
基于多層級(jí)�����、模塊化的解決方案設(shè)計(jì),可以靈活適應(yīng)不同層次關(guān)系���、不同規(guī)模的用戶單位��,支持集中管控�、業(yè)務(wù)強(qiáng)管控����、委托管控等不同模式的信息安全管控體系,解決方案中的各個(gè)模塊�,即可獨(dú)立應(yīng)用,也可組合應(yīng)用��,或者逐一推進(jìn)實(shí)施����。
6 與技術(shù)工具無(wú)縫集成
信息化系統(tǒng)支持與業(yè)界主流的多數(shù)安全產(chǎn)品的集成接口,包括安全檢查類產(chǎn)品�、安全防護(hù)類產(chǎn)品、安全監(jiān)測(cè)類產(chǎn)品�、安全審計(jì)類產(chǎn)品,如漏掃工具��、配置核查工具�、IPS���、IDS、WAF��、抗DDos等�����,解決信息孤島問題�,保證客觀數(shù)據(jù)貫通應(yīng)用。
√ 明晰管控工作主線
通過信息化工作平臺(tái)�,固化工作流程,牽引工作事項(xiàng)�����,明晰信息安全管控工作主線����,解決普遍存在的信息安全工作碎片化��、工作沒有主線的問題���。
√ 明確安全管控要求
通過信息安全合規(guī)庫(kù)的建設(shè)�,明確組織的信息安全各領(lǐng)域合規(guī)要求,全面完整精細(xì)�����,合規(guī)部門有據(jù)可依����,落實(shí)部門有章可循,使安全管控工作不留死角��,不留空白����。
√ 有效指導(dǎo)落實(shí)工作
信息安全合規(guī)庫(kù)不僅給出了全面的安全要求,還提供了滿足安全要求的具體實(shí)施方法���,能夠有效指導(dǎo)落實(shí)單位準(zhǔn)確落實(shí)安全要求��。
√ 量化評(píng)價(jià)落實(shí)效果
通過合規(guī)要求落實(shí)程度評(píng)分標(biāo)準(zhǔn)����,可以科學(xué)���、客觀����、量化的評(píng)價(jià)各單位的合規(guī)落實(shí)水平,用戶能夠精確把握當(dāng)前信息安全落實(shí)態(tài)勢(shì)��,準(zhǔn)確發(fā)現(xiàn)薄弱領(lǐng)域����。
√ 落實(shí)責(zé)任有效驅(qū)動(dòng)
通過安全要求責(zé)任人歸屬,通報(bào)問責(zé)�,以及安全問題整改跟蹤等機(jī)制,使各級(jí)單位部門和個(gè)人有責(zé)負(fù)責(zé)盡責(zé)��,驅(qū)動(dòng)信息安全落實(shí)工作的積極開展�����。
√ 有序推動(dòng)安全建設(shè)
能夠展現(xiàn)整體安全態(tài)勢(shì)�����,并且分析發(fā)現(xiàn)薄弱環(huán)節(jié)�,有針對(duì)性的進(jìn)行信息安全建設(shè)���,防止各級(jí)單位無(wú)序���、無(wú)效�����、重復(fù)建設(shè)����,提升用戶信息安全建設(shè)效率���。
√ 安全管控閉環(huán)管理
實(shí)現(xiàn)了整個(gè)安全管控工作從規(guī)劃����、指導(dǎo)����、落實(shí)、評(píng)價(jià)����、改進(jìn)全流程、各環(huán)節(jié)的管控���,規(guī)范了工作流程�����,保證組織的信息安全工作在一個(gè)正確的軌道上運(yùn)行���,不發(fā)生大的偏離���,提升了組織的一體化管理水平,并能夠不斷在積累中自我提高���,自我完善�。
√ 提升管控工作效率
通過一體化信息安全管控系統(tǒng)�����,以及配套技術(shù)工具的對(duì)接����,大大提升了安全管控、安全運(yùn)行的工作效率�����,節(jié)約了用戶人力和時(shí)間,使安全管控和安全運(yùn)行工作常態(tài)化�����。
