近年來�,國內(nèi)外信息安全形勢日趨嚴峻����,2014年初中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組的成立�,標志著網(wǎng)絡(luò)安全已上升至國家安全高度�����。隨著國家信息安全監(jiān)管力度的不斷提升�,對于政府機構(gòu)�、大型企業(yè)這樣的集團型組織來講,信息安全監(jiān)管工作也面臨著諸多挑戰(zhàn)���,如信息安全工作碎片化情況嚴重����、監(jiān)管要求來源多時效性強疲于應對����、基層單位落實工作缺乏指導����、落實效果難以評價等��,導致信息安全監(jiān)管工作缺乏體系性��,工作主線不明晰���,安全要求和落實標準難以明確�,信息安全監(jiān)管工作缺乏工作抓手�,推動落實缺乏驅(qū)動力等,在實際工作中普遍存在信息安全工作整體性���、有序性��、執(zhí)行力欠缺的困惑�����。
集團型企業(yè)面臨內(nèi)外部諸多安全訴求�����,并且要求越來越高�、越來越緊迫,且信息安全業(yè)務自身發(fā)展規(guī)律的需要下�����,信息安全工作重心需從信息安全管理提升到信息安全管控����。信息安全管控工作是個綜合性工作����,要做好這項工作,需要有明確的信息安全目標����、清晰的信息安全管控要求、通暢的管控工作機制��、有效的驅(qū)動手段�、信息化的工作抓手平臺、自動化的技術(shù)檢查工具�、持續(xù)性的安全運行落實,才能保證管控工作的有效落實��,監(jiān)到點,管到位���,真正做到“踏石留印����、抓鐵有痕”���。
針對這種情況��,易聆科自主開發(fā)了一體化信息安全管控系統(tǒng)�,旨在為用戶強化信息安全管控能力的建設(shè)���,構(gòu)筑有效的管控體系��,引導各級單位合規(guī)有序的進行信息安全建設(shè)�,保障信息安全管理和技術(shù)要求在各級單位的落實效果�����,確保信息安全防護體系落實和信息安全目標達成�。
系統(tǒng)功能框架如下圖所示:
產(chǎn)品特點
1 全面覆蓋安全管控業(yè)務范疇
本解決方案涵蓋了信息安全管控工作所有業(yè)務范疇,包括安全規(guī)劃����、指導���、落實、督查��、評價考核�、改進更新等環(huán)節(jié),以及日常安全運行�,并通過信息安全管控工作機制為主線將各業(yè)務模塊無縫聯(lián)接起來,確保信息安全管控工作全面完整����。
2 多要素協(xié)同推進安全管控工作
依據(jù)易聆科在信息安全管控領(lǐng)域多年的實踐經(jīng)驗��,分析總結(jié)出保障信息安全管控工作的多種工作資源要素����,如信息化工作抓手平臺、咨詢設(shè)計�、安全服務、產(chǎn)品集成等��,互相配合�,相互作用��,協(xié)同推進安全管控工作踏實落地���、常態(tài)運轉(zhuǎn)。
3 信息安全合規(guī)庫確保落實有效
經(jīng)過多年積累����,易聆科目前擁有針對不同行業(yè)用戶的信息安全合規(guī)庫(如政府版、行業(yè)版)�,囊括了用戶單位應滿足的所有外部安全合規(guī)要求,以及落實這些要求對應的實施措施��、檢查方法�,使用戶單位的信息安全建設(shè)有章可循、有據(jù)可依�����,大大降低了用戶的人力����、技術(shù)要求,確保落實不留死角��、不留空白���,全面有效��。
4 安全管控工作智能化
通過信息化的安全管控系統(tǒng)�����,將管控和落實過程可視化���,形成安全態(tài)勢供輔助決策�����,使安全管控工作和日常安全運行工作智能化��、可視化。
5 靈活適應不同業(yè)務需求
基于多層級��、模塊化的解決方案設(shè)計���,可以靈活適應不同層次關(guān)系����、不同規(guī)模的用戶單位��,支持集中管控、業(yè)務強管控����、委托管控等不同模式的信息安全管控體系,解決方案中的各個模塊���,即可獨立應用��,也可組合應用�����,或者逐一推進實施����。
6 與技術(shù)工具無縫集成
信息化系統(tǒng)支持與業(yè)界主流的多數(shù)安全產(chǎn)品的集成接口�����,包括安全檢查類產(chǎn)品���、安全防護類產(chǎn)品���、安全監(jiān)測類產(chǎn)品�����、安全審計類產(chǎn)品�,如漏掃工具��、配置核查工具��、IPS��、IDS����、WAF、抗DDos等�����,解決信息孤島問題����,保證客觀數(shù)據(jù)貫通應用�����。
√ 明晰管控工作主線
通過信息化工作平臺,固化工作流程��,牽引工作事項��,明晰信息安全管控工作主線�,解決普遍存在的信息安全工作碎片化、工作沒有主線的問題��。
√ 明確安全管控要求
通過信息安全合規(guī)庫的建設(shè)�,明確組織的信息安全各領(lǐng)域合規(guī)要求,全面完整精細�,合規(guī)部門有據(jù)可依,落實部門有章可循�,使安全管控工作不留死角,不留空白���。
√ 有效指導落實工作
信息安全合規(guī)庫不僅給出了全面的安全要求�����,還提供了滿足安全要求的具體實施方法�,能夠有效指導落實單位準確落實安全要求��。
√ 量化評價落實效果
通過合規(guī)要求落實程度評分標準,可以科學����、客觀、量化的評價各單位的合規(guī)落實水平����,用戶能夠精確把握當前信息安全落實態(tài)勢,準確發(fā)現(xiàn)薄弱領(lǐng)域���。
√ 落實責任有效驅(qū)動
通過安全要求責任人歸屬�,通報問責�,以及安全問題整改跟蹤等機制,使各級單位部門和個人有責負責盡責�,驅(qū)動信息安全落實工作的積極開展。
√ 有序推動安全建設(shè)
能夠展現(xiàn)整體安全態(tài)勢�,并且分析發(fā)現(xiàn)薄弱環(huán)節(jié),有針對性的進行信息安全建設(shè)��,防止各級單位無序�、無效、重復建設(shè)����,提升用戶信息安全建設(shè)效率。
√ 安全管控閉環(huán)管理
實現(xiàn)了整個安全管控工作從規(guī)劃���、指導���、落實、評價����、改進全流程、各環(huán)節(jié)的管控����,規(guī)范了工作流程,保證組織的信息安全工作在一個正確的軌道上運行�����,不發(fā)生大的偏離����,提升了組織的一體化管理水平,并能夠不斷在積累中自我提高�,自我完善。
√ 提升管控工作效率
通過一體化信息安全管控系統(tǒng)�,以及配套技術(shù)工具的對接,大大提升了安全管控、安全運行的工作效率����,節(jié)約了用戶人力和時間,使安全管控和安全運行工作常態(tài)化����。
