摘要：我們根據(jù)客戶需求并遵循國家信息安全等級(jí)保護(hù)的要求，為客戶提供標(biāo)準(zhǔn)有效的一站式等保咨詢服務(wù)和建設(shè)整改方案，這不僅是貫徹落實(shí)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的有力舉措，同時(shí)能夠完善客戶信息系統(tǒng)安全保障體系，提高信息系統(tǒng)的安全防御能力，更好地抵御網(wǎng)絡(luò)攻擊、保障客戶數(shù)字化相關(guān)業(yè)務(wù)的發(fā)展。

　　一、項(xiàng)目背景

　　網(wǎng)絡(luò)安全是我國國家安全的重要組成部分，根據(jù)公安部門的要求，需要全面開展網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，需明確網(wǎng)絡(luò)安全保障重心，落實(shí)網(wǎng)絡(luò)安全責(zé)任，建立網(wǎng)絡(luò)安全等級(jí)保護(hù)長效機(jī)制，以切實(shí)提高網(wǎng)絡(luò)安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為客戶信息化健康發(fā)展提供可靠保障，同時(shí)維護(hù)公共利益、社會(huì)秩序和國家安全。

　　二、項(xiàng)目需求

　　1、系統(tǒng)情況

　　DigiPrime系統(tǒng)是客戶研發(fā)的一款適用于（Direct to Consumer）場景的數(shù)字化平臺(tái)，包含線上渠道、線下門店、商品管理、支付交易、運(yùn)力管理、風(fēng)控和數(shù)據(jù)管理等模塊，通過對(duì)公司的介紹和業(yè)務(wù)信息的展現(xiàn)，讓公眾瀏覽者對(duì)公司的數(shù)字化業(yè)務(wù)和DTC直接連接客戶服務(wù)有所了解，幫助企業(yè)快速開展數(shù)字化業(yè)務(wù)。

　　2、建設(shè)目標(biāo)

　　貫徹落實(shí)國家信息安全工作部署，完善客戶信息系統(tǒng)安全技術(shù)防護(hù)措施、安全管理制度和安全運(yùn)維體系，全面建設(shè)完整的信息安全防護(hù)體系，順利通過信息系統(tǒng)等級(jí)測(cè)評(píng)，為客戶信息化的健康快速發(fā)展保駕護(hù)航。

　　三、服務(wù)方案

　　根據(jù)客戶需求，御盾為客戶提供了一站式等保咨詢服務(wù)和完整的建設(shè)整改方案，既可以充分滿足國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的要求，又能夠有效抵御安全風(fēng)險(xiǎn)，為客戶信息系統(tǒng)提供有效保護(hù)。

　　1、系統(tǒng)定級(jí)與備案

　　依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》對(duì)客戶信息系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀進(jìn)行調(diào)研與分析；明確系統(tǒng)邊界，識(shí)別數(shù)據(jù)和應(yīng)用的重要程度，結(jié)合國家對(duì)等保的要求及規(guī)定，定義出符合企業(yè)自身現(xiàn)狀的等保級(jí)別，確定客戶系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第三級(jí)；編寫定級(jí)報(bào)告和定級(jí)備案表，經(jīng)過評(píng)審后，向公安機(jī)關(guān)備案。

　　2、風(fēng)險(xiǎn)評(píng)估與差距分析

　　根據(jù)信息系統(tǒng)定級(jí)結(jié)果以及等級(jí)保護(hù)基本要求，選擇適當(dāng)?shù)陌踩Ｗo(hù)指標(biāo)；對(duì)信息系統(tǒng)及運(yùn)行環(huán)境進(jìn)行差距分析工作，識(shí)別威脅和弱點(diǎn)，挖掘安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全管理中心、管理等各層面安全風(fēng)險(xiǎn)；通過將系統(tǒng)安全現(xiàn)狀與安全評(píng)估指標(biāo)進(jìn)行逐一對(duì)比，記錄當(dāng)前的現(xiàn)狀情況，找到與評(píng)估指標(biāo)之間的差距，判斷安全技術(shù)和安全管理方面與評(píng)估指標(biāo)的符合程度；在此基礎(chǔ)上將差距分析的結(jié)果文檔化，形成差距分析報(bào)告并提出改進(jìn)建議。

　　3、  安全建設(shè)規(guī)劃

　　根據(jù)差距分析結(jié)果，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求，在明確安全需求的基礎(chǔ)上，對(duì)安全體系進(jìn)行總體設(shè)計(jì)并規(guī)劃安全建設(shè)項(xiàng)目。

　　4、  安全方案設(shè)計(jì)

　　根據(jù)安全建設(shè)規(guī)劃，進(jìn)行詳細(xì)的方案設(shè)計(jì)和安全產(chǎn)品選擇，形成可實(shí)施的詳細(xì)方案。根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將總體設(shè)計(jì)和建設(shè)規(guī)劃中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔；根據(jù)用戶當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)，安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

　　5、  協(xié)助安全加固

　　根據(jù)等保差距分析的結(jié)果，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)進(jìn)行配置加固，提高系統(tǒng)安全性，滿足等保要求，并將加固記錄分析整理，形成安全加固報(bào)告。

　　6、  安全管理咨詢

　　協(xié)助用戶完善配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障；協(xié)助用戶完善修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程；協(xié)助用戶根據(jù)自己組織結(jié)構(gòu)特點(diǎn)進(jìn)行安全制度培訓(xùn)、宣傳、推廣，確保安全制度的落地執(zhí)行。

　　7、  輔助等級(jí)測(cè)評(píng)

　　協(xié)助客戶選擇適合其行業(yè)特點(diǎn)、具備等保測(cè)評(píng)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)，并提交等保測(cè)評(píng)申請(qǐng)；根據(jù)測(cè)評(píng)要求，協(xié)助補(bǔ)充和準(zhǔn)備測(cè)評(píng)所需的文檔資料；指派專業(yè)咨詢顧問配合測(cè)評(píng)機(jī)構(gòu)的現(xiàn)場測(cè)評(píng)工作，協(xié)助回答測(cè)評(píng)人員問題，協(xié)助客戶搜集測(cè)評(píng)需要的制度、記錄等文檔，協(xié)助客戶完成國家等級(jí)保護(hù)測(cè)評(píng)；現(xiàn)場測(cè)評(píng)過程中可能會(huì)出現(xiàn)部分不符合項(xiàng)，咨詢顧問針對(duì)這些不符合項(xiàng)進(jìn)行快速整改，確?？蛻繇樌ㄟ^測(cè)評(píng)。

　　8、  后期持續(xù)運(yùn)維

　　等保測(cè)評(píng)通過后，保持對(duì)其持續(xù)運(yùn)行維護(hù)（包含每年續(xù)證事宜、因政策變化而引起的變更調(diào)整、新增及調(diào)整需求等）。

　　四、服務(wù)價(jià)值體現(xiàn)

　　一方面提高了客戶IT安全管理水平，全面降低信息安全風(fēng)險(xiǎn)，同時(shí)幫助客戶在行業(yè)中樹立良好的安全形象，同時(shí)更好地保障了客戶業(yè)務(wù)的發(fā)展，具有良好的經(jīng)濟(jì)效益和社會(huì)效益。

　　1、協(xié)助客戶滿足等級(jí)保護(hù)2.0的合規(guī)性要求，符合國家法律法規(guī)的相關(guān)規(guī)定。

　　2、統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一運(yùn)營，充分利用現(xiàn)有網(wǎng)絡(luò)資源和安全資源，節(jié)省投資，減少重復(fù)建設(shè)。

　　3、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，提高客戶的網(wǎng)絡(luò)安全防御體系，減少由病毒及黑客攻擊帶來的間接損失。

　　4、完善的網(wǎng)絡(luò)安全防護(hù)體系，有效防范網(wǎng)絡(luò)安全問題引發(fā)的社會(huì)不良影響；實(shí)現(xiàn)客戶敏感數(shù)據(jù)的安全防護(hù)，降低網(wǎng)絡(luò)安全問題可能引發(fā)的法律風(fēng)險(xiǎn)。