等级保护工作管理系统,以国际、国内、电监会颁布的各类信息安全标准为基础,并结合企业安全规范要求、信息安全等保管理体系,构建标准信息安全测评模型,包括测试标准库、测评方法、评价模型等。实现信息安全等级保护测评全流程的信息化管理。
系统包括工作管理、定级备案管理、等级保护测评过程管理、等级保护报告管理和统计分析等主要功能。
本产品以公司信息安全业务需求为基础,基于等级保护的信息安全测评技术,包括量化风险的等级保护测评技术、等级保护的信息安全水平评价技术、CCE、CPE协议的基线核查技术、源代码静态分析的应用代码安全审核技术等,提出了信息安全等级保护测评技术模型,建立了一体化的信息安全测评指标库及信息安全水平评价体系。
其核心价值在于:
1) 推动等级保护政策及信息安全测评工作的落地实施,提高等级保护测评工作效率;
2) 为企业信息安全建设决策提供依据和测评标准化工作指导;
3) 提出了量化风险的等级保护测评方法,采用基于业务主线的资产识别,建立脆弱性库、威胁库,使等级保护测评中的风险分析更加客观、科学。
1、 企业的应用系统众多,信息安全管理工作任务繁重,需要信息化手段对应用系统等级保护工作进行集中管理、有效跟踪和落实;
2、 第三方等级保护测评机构的等级保护测评项目实施管理平台;
3、 国家或行业安全法规要求对应用系统的进行记录并提供定期等级保护测评。
从信息系统定级备案、制定等级保护工作计划、量化指标评估、缺陷跟踪整改到等级保护报告的等级保护工作全流程管理。基本流程如下:
