精诚瑞宝·精诚精诠·精诚集团
繁體中文  |  
产品与解决方案
产品与解决方案-> 自有产品-> 产品方案

企业系统安全评价度量平台  2015-05-11

业务背景

 

随着数据在跨组织边界流动,更多的数据被用于分析,数据资产的界定和安全问题也越来越突出,数据所有权及使用授权机制也亟待完善。企业越来越重视数据的所有权和安全问题。如何有效地记录并安全地保存数据,是各企业面临的一个重要课题。

 

信息系统评估是一项重要且繁琐的工程,各个系统的评估往往是寻找不同的专业公司来进行评估,评估标准和评估方法的差异性,造成评估基础数据较为分散,不利于数据的统一管理和分析比对,不利于保障数据的所有权和安全性。因此,亟需将系统评估方法模式化,统一操作管理,为数据的安全管理创造条件,对未来实现大数据分析做好准备。

 

传统系统评价通常组织第三方专业公司进行,面临两个问题:一是不同部门,甚至同一部门由于业务需求的不同,很难统一为同一个第三方专业公司负责系统评估,而不同第三方技术能力的差异、所用测评标准的差异,均会导致系统评价结果可复用性差,难以通过横向比较和历史纵向比较判断信息安全管理工作的有效性。另一方面,第三方评估成本高。为实现高效低成本的评估系统安全,构建一套完善的系统风险评价标准是当务之急。

 

方案概述

 

1)提高效率:通过自动化计算,降低系统评估时间成本,避免了人工计算的失误。

2)降低门槛:通过评估工具化、自动化,降低技术门槛,提高了自有人员的运维能力。

3)数据可视:平台可直观展现系统从局部到整体的安全态势,以及安全问题领域。

4)分析对比:一方面,系统管理者通过平台,可以全面掌握公司所有已评估系统的安全状况,安全问题领域及优先整改意见,以此为输入分析当前安全管理工作的有效性及未来安全投资规划。另一方面,通过平台累积的系统历史评估结果,有关系统使用者可以进行系统安全状况的纵向比对和横向比对,了解某一系统的安全动态趋势,以及与其他系统在安全管理工作上的优劣势。

 

方案组成

 

遵循最新ISO27001:2013中13个领域,113个控制点的具体要求,覆盖国家等级保护标准一到五级的安全指引,参照行业相关信息安全技术体系规范要求,搭建了包含领域、要素、指标三个层级的风险评价标准框架。

 

 

•领域层覆盖了国际国内标准规定的所有领域,共计8个领域,分别是物理安全、主机安全、网络安全、应用安全、数据库安全、中间件安全、终端安全、人员安全。每个领域对应多个安全度量要素。

 

•要素层是在领域层的基础上,通过对标准和规定的解析和融合,对每个系统架构层所关注的安全度量要素进行提取,以实现对该领域所涉及的安全问题进行全要素度量。

 

•指标层包括管理类指标、技术类指标和执行类指标。每个度量要素均包含管理、技术、执行三类指标。管理指标、技术指标和执行指标相互关联,体现安全整体态势。其中,以管理指导技术和执行,以技术提高管理和执行效率,以执行促进管理和技术能力建设,由此形成安全的闭环管理模型。

 

平台三大核心功能:

 

 

方案优势

 

♦形成高度融合、全面适用的信息安全度量体系;

♦实现自动化、工具化的信息安全风险评估应用;

♦提供客观性、可视化的信息安全决策支撑数据;

♦度量体系灵活应用,平台功能支持扩展。

 

版权所有 2017 精诚瑞宝计算机系统有限公司 粤ICP备07501181号 粤公网安备 44010602002237号
X
客户留言
留言标题:
联系姓名:
联系电话:
留言内容: