近年来,国内外信息安全形势日趋严峻,2014年初中央网络安全和信息化领导小组的成立,标志着网络安全已上升至国家安全高度。随着国家信息安全监管力度的不断提升,对于政府机构、大型企业这样的集团型组织来讲,信息安全监管工作也面临着诸多挑战,如信息安全工作碎片化情况严重、监管要求来源多时效性强疲于应对、基层单位落实工作缺乏指导、落实效果难以评价等,导致信息安全监管工作缺乏体系性,工作主线不明晰,安全要求和落实标准难以明确,信息安全监管工作缺乏工作抓手,推动落实缺乏驱动力等,在实际工作中普遍存在信息安全工作整体性、有序性、执行力欠缺的困惑。
集团型企业面临内外部诸多安全诉求,并且要求越来越高、越来越紧迫,且信息安全业务自身发展规律的需要下,信息安全工作重心需从信息安全管理提升到信息安全管控。信息安全管控工作是个综合性工作,要做好这项工作,需要有明确的信息安全目标、清晰的信息安全管控要求、通畅的管控工作机制、有效的驱动手段、信息化的工作抓手平台、自动化的技术检查工具、持续性的安全运行落实,才能保证管控工作的有效落实,监到点,管到位,真正做到“踏石留印、抓铁有痕”。
针对这种情况,易聆科自主开发了一体化信息安全管控系统,旨在为用户强化信息安全管控能力的建设,构筑有效的管控体系,引导各级单位合规有序的进行信息安全建设,保障信息安全管理和技术要求在各级单位的落实效果,确保信息安全防护体系落实和信息安全目标达成。
系统功能框架如下图所示:
产品特点
1 全面覆盖安全管控业务范畴
本解决方案涵盖了信息安全管控工作所有业务范畴,包括安全规划、指导、落实、督查、评价考核、改进更新等环节,以及日常安全运行,并通过信息安全管控工作机制为主线将各业务模块无缝联接起来,确保信息安全管控工作全面完整。
2 多要素协同推进安全管控工作
依据易聆科在信息安全管控领域多年的实践经验,分析总结出保障信息安全管控工作的多种工作资源要素,如信息化工作抓手平台、咨询设计、安全服务、产品集成等,互相配合,相互作用,协同推进安全管控工作踏实落地、常态运转。
3 信息安全合规库确保落实有效
经过多年积累,易聆科目前拥有针对不同行业用户的信息安全合规库(如政府版、行业版),囊括了用户单位应满足的所有外部安全合规要求,以及落实这些要求对应的实施措施、检查方法,使用户单位的信息安全建设有章可循、有据可依,大大降低了用户的人力、技术要求,确保落实不留死角、不留空白,全面有效。
4 安全管控工作智能化
通过信息化的安全管控系统,将管控和落实过程可视化,形成安全态势供辅助决策,使安全管控工作和日常安全运行工作智能化、可视化。
5 灵活适应不同业务需求
基于多层级、模块化的解决方案设计,可以灵活适应不同层次关系、不同规模的用户单位,支持集中管控、业务强管控、委托管控等不同模式的信息安全管控体系,解决方案中的各个模块,即可独立应用,也可组合应用,或者逐一推进实施。
6 与技术工具无缝集成
信息化系统支持与业界主流的多数安全产品的集成接口,包括安全检查类产品、安全防护类产品、安全监测类产品、安全审计类产品,如漏扫工具、配置核查工具、IPS、IDS、WAF、抗DDos等,解决信息孤岛问题,保证客观数据贯通应用。
√ 明晰管控工作主线
通过信息化工作平台,固化工作流程,牵引工作事项,明晰信息安全管控工作主线,解决普遍存在的信息安全工作碎片化、工作没有主线的问题。
√ 明确安全管控要求
通过信息安全合规库的建设,明确组织的信息安全各领域合规要求,全面完整精细,合规部门有据可依,落实部门有章可循,使安全管控工作不留死角,不留空白。
√ 有效指导落实工作
信息安全合规库不仅给出了全面的安全要求,还提供了满足安全要求的具体实施方法,能够有效指导落实单位准确落实安全要求。
√ 量化评价落实效果
通过合规要求落实程度评分标准,可以科学、客观、量化的评价各单位的合规落实水平,用户能够精确把握当前信息安全落实态势,准确发现薄弱领域。
√ 落实责任有效驱动
通过安全要求责任人归属,通报问责,以及安全问题整改跟踪等机制,使各级单位部门和个人有责负责尽责,驱动信息安全落实工作的积极开展。
√ 有序推动安全建设
能够展现整体安全态势,并且分析发现薄弱环节,有针对性的进行信息安全建设,防止各级单位无序、无效、重复建设,提升用户信息安全建设效率。
√ 安全管控闭环管理
实现了整个安全管控工作从规划、指导、落实、评价、改进全流程、各环节的管控,规范了工作流程,保证组织的信息安全工作在一个正确的轨道上运行,不发生大的偏离,提升了组织的一体化管理水平,并能够不断在积累中自我提高,自我完善。
√ 提升管控工作效率
通过一体化信息安全管控系统,以及配套技术工具的对接,大大提升了安全管控、安全运行的工作效率,节约了用户人力和时间,使安全管控和安全运行工作常态化。
