信息安全合规管理系统是对安全合规工作全流程及工作要素的整体融合和有效承载,以信息安全合规库为核心,通过信息化平台,将软件系统运行、体系设计、日常安全运行、安全产品围绕着安全合规目标整合为一个有机整体,保障安全合规目标的有效达成。
信息安全合规管理系统内嵌符合用户行业特点的信息安全合规库,能够实现安全合规工作机制全流程运转,使各级单位的安全合规工作和落实工作过程可视化,支持合规自查、督查,实现合规态势感知,合规评价考核,技术能力支撑与共享。
信息安全合规管理系统功能框架如下图所示:
■ 全面覆盖安全合规业务范畴
本解决方案涵盖了信息安全合规工作所有业务范畴,包括安全规划、指导、落实、督查、评价考核、改进更新等环节,以及日常安全运行,并通过信息安全合规工作机制为主线将各业务模块无缝联接起来,确保信息安全合规工作全面完整。
■ 信息安全合规库确保落实有效
经过多年积累,易聆科目前拥有针对不同行业用户的信息安全合规库(如政府版、行业版),囊括了用户单位应满足的所有外部安全合规要求,以及落实这些要求对应的实施措施、检查方法,使用户单位的信息安全建设有章可循、有据可依,大大降低了用户的人力、技术要求,确保落实不留死角、不留空白,全面有效。
■ 安全合规工作智能化
通过信息化的安全合规工作平台及安全运行管理系统,可自动推送工作任务到相关责任人,将管理过程可视化,自动统计分析安全态势并寻找薄弱点,使安全合规工作和日常安全运行工作智能化、可视化。
对于多层级信息安全合规工作形式的用户单位来讲,一般分为主管部门和执行落实部门。主管部门担负着规划、指导、合规的工作任务,执行落实部门承担建设、落实、提升的工作任务,通过安全合规工作平台,主管部门向落实部门输出安全目标、要求、能力,而落实部门通过安全合规工作平台向主管部门反馈落实差距、安全风险和合规结果。
同时,落实部门还承担着日常安全运行的工作任务,安全合规工作平台将安全运维要求输出至安全运行管理系统,通过安全运行管理系统以及配套安全运维服务和安全产品集成服务,可以有效的将日常安全运行工作运行起来,发现安全问题,处置安全隐患,将安全风险反馈至安全合规工作平台中去。
最终,形成安全态势报告,和具体落实差距情况,供主管部门和领导层掌握工作总体落实状况,为决策提供依据。
安全合规工作配套的咨询服务和安全服务,也为主管部门和落实部门开展工作提供全面有效支撑。
