北京某銀行信息系統(tǒng)安全管理體系建設及等級保護三級符合性評估項目

項目概述

  該銀行依據(jù)信息系統(tǒng)安全規(guī)劃的“整體規(guī)劃、分步實施、夯實基礎、整體推進、持續(xù)提升”的信息安全建設工作方針和“系統(tǒng)分級、防護分域、預防為主、積極管控”總體安全防護策略，逐步推進公司信息系統(tǒng)安全建設。


項目目標

   通過本項目初步建立公司信息安全管理體系，優(yōu)化公司信息安全防護策略，進行公司信息安全評估和加固，保證公司信息系統(tǒng)達到國家等保三級水平、保監(jiān)會的信息安全保護能力的第6級水平，完成相關材料的整理以備國家信息系統(tǒng)安全測評機構(gòu)的測評工作需要，并能為公司信息系統(tǒng)在公安部門順利備案準備材料。


項目實施過程

   此次無國界將項目成員分為三組，分別是網(wǎng)絡割接和安全策略梳理與實施為一組，評估和加固為一組，安全管理制度編寫為一組。


   我們的安全顧問首先是對整網(wǎng)進行割接并分析各個業(yè)務間的訪問關系，得出相應的訪問關系后再進行相應的策略實施。


   其次，進行全面的風險評估并根據(jù)評估的結(jié)果做相應的加固。成都三聯(lián)創(chuàng)信科技有限公司的安全顧問在風險評估服務中，本項目參照國內(nèi)外風險管理標準，建立了風險評估模型，如下：
      


   我們安全顧問最后對管理制度編寫和信息安全人員培訓，管理制度主要是依據(jù)ISO/IEC 27001:2005《信息安全管理體系要求》；培訓主要從如下幾點進行
 

項目成果

    網(wǎng)絡割接成功，實現(xiàn)了重要部分重點保護。

   信息系統(tǒng)等保評估后發(fā)現(xiàn)不適用14項，不符合98項。風險評估后發(fā)現(xiàn)中風險3項，高風險10項，并針對對這些風險做了相應的加固處理。

   無國界的安全顧問對公司整網(wǎng)進行分析后，得出各業(yè)務之間的訪問關系并加以實施相應的策略，提高了系統(tǒng)抵御黑客入侵的能力和公司的安全性。

   安全顧問編寫了100多個安全管理制度，形成《安全管理制度匯編》并發(fā)布，使信息安全工作有法可依。

   該銀行員工通過課程培訓，提高了人員的安全意識水平，全員認識自身在安全體系中的位置，以及本崗位的安全職責。

   準備了國家等級保護測評所需要的材料。


 總體評價

   本項目對北京某銀行建立起了信息安全管理體系，優(yōu)化了公司信息安全防護策略，對公司的信息安全進行了評估和加固，使公司信息系統(tǒng)達到國家等保三級水平，并為公司信息系統(tǒng)在公安部門順利備案準備材料，安全顧問在整個項目實施過程中得到了客戶的一致好評。