安全合规管理，安全合规分析系统

现状和挑战播报

编辑

伴随着企业的信息化发展和建设，企业业务越来越依赖信息技术，而企业的安全风险随之加大。常见的安全风险有以下三类：

组织方面的风险。缺乏统一的安全规划和安全职责部门。

技术方面的风险。目前对安全技术和安全产品的使用仍是不足。

管理方面的风险。安全管理有待提高安全合规管理，安全意识培训、安全策略和业务连续性计划都需要完善和加强。

[1]

安全合规分析系统借助专业厂商的长期安全知识与经验积累，打造自身的安全合规管理体系，是企业防患于未然的重要措施。可以帮助企业建设一个包括安全组织体系、安全管理体系和安全技术体系的全面安全保障体系，包含贯穿始终的安全策略、风险评估、安全管理考证书的正规网站，以及终端用户行为监管；而在技术层面上需要考虑综合采取多种保护措施，保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。

主要特点播报

编辑

安全合规分析系统基于专业的安全知识与专家的管理经验设计开发而成，依托于专家级的经验知识库量身打造，提供了多种图形化的分析展示工具从而易于使用，采用了中心集中式的数据管理方式，提供了实时的合规状态呈现功能，建立了有效的合规保障机制，为客户带来了便捷的监督管理措施。

安全合规分析系统架构图

功能介绍播报

编辑

5.1基础信息管理

单位信息:

记录系统的主管单位信息，包括所属行业类别、负责人信息、责任部门、隶属关系、单位类型、所拥有的信息系统总数等功能。支持公安部等级保护备案端软件数据的导入。

信息系统管理:

记录管理各个信息系统的基本信息，包括系统名称，系统承载业务情况，系统服务情况等，管理系统拓扑结构图。

资产收集管理:

按照业务应用软件、主机存储设备等七大类收集管理系统相关资产信息，支持资产收集批量导入。

资料文档库:

管理维护等级保护工作相关的资料文档，包括有相关标准、政策文件库，上级通知文件，本单位相关制度等。

等保资料知识库:

系统提供40余份等级保护相关的政策法规、国家标准，包括各主管部门历次发布文件、管理技术相关要求标准、等保相关指南（定级、实施、基本要求等）。

5.2定级备案管理

系统定级:

依照《信息系统安全等级保护定级指南》，软件内置“信息系统定级向导“，从业务信息安全和系统服务两个方面分析，确定安全等级和保护基线，自动生成《定级报告》，辅助完成系统定级工作。

系统备案:

软件系统根据单位信息和系统定级情况，自动生成符合公安机关备案要求的《信息系统备案表》。

定级备案材料汇总:

汇总各个信息系统各个时期的定级、备案信息，包括《定级报告》、《备案表》、三级以上系统定级相关材料等。

5.3差距评估管理

评估方案制定:

根据信息系统的安全等级和保护基线，制定差距评估方案，包括人员分工情况，项目负责人设置，并将结果报送领导审批。

控制项评估:

根据评估方案中的人员分工，相关责任人员登录到系统内，按照控制域-＜控制点-＜控制项的要求，实现逐项的在线评估。

评估结果分析:

将差距分析结果形成丰富而详细的图型及报表，如：总体符合度情况统计，各个层面符合度情况统计、差距项列表等。系统自动生成word、pdf版的信息系统差距评估报告。

可持续评估:

当信息系统进行新一次的差距评估时，可以继承上一次差距评估的结果，包括人员分工情况、控制项符合程度及评估描述、相关证据等。只调整少量变化的控制项即可完成新一次的评估工作。

5.4整改规划管理

整改需求分析:

归并各个信息系统历次评估后的不符合项和部分符合项，形成一套总体的信息安全需求，为制定整改方案设计、整改任务规划奠定基础。系统自动生成《整改建议报告》。

整改规划知识库:

系统提供全面等级保护建设知识库，涵盖了《安全技术整改工作流程》、《安全管理整改工作流程》、《技术方案设计要求》、《安全功能和产品类型库》、《技术方案设计实例库》、《等级保护整改方案参考》等内容。

整改方案管理:

系统提供整改方案模板供用户使用安全合规管理，安全合规分析系统，同时用户可以在系统中维护历次的整改方案文档。

任务规划:

根据需求分析的差距项目，用户可以在系统中制定相关的整改任务，系统中的【安全建设知识库】会根据具体的控制项以【实践参考】的形式提出相关的整改任务建议。将任务下发后即可形成任务实施规划。

任务职责分配实施规划蓝图:

系统提供对整改任务总体规划的查询和展现，从时间安排、任务所属安全域和任务类型等几个角度来统计汇总整改实施过程中的相关任务。系统支持自动生成《等级保护实施规划报告》。

5.5落实整改管理

整改落实知识库:

系统包含了整改落实阶段的知识库，包括《安全技术方案库》、《安全管理制度库》、《基本安全配置参考库》、《安全意识教育知识库》等。

任务进度填报:

任务责任人在系统中填报整改任务执行进度，信息安全负责人对全部任务的执行过程进行状态跟踪。在任务执行完毕后，针对差距项进行重新评估，完成PDCA闭环管理。

整改落实情况分析:

从各个部门、安全域、任务类别、差距项、任务重要性、风险级别、预算执行情况等多维度、多视角来查看整改任务的落实情况，监督、敦促等级保护整改工作的落实，实现等保建设工作的常态化运行。

监督检查通知管理:

管理记录主管部门（如公安机关、行业主管部门）的关于等级保护测评工作的监督检查通知文件。

报送材料准备:

准备报送材料，获得信息系统运营使用单位主管领导的审批，查询历史数据提交情况。

测评检查结果管理:

录入主管部门对监督检查的意见，查询历史监督检查意见。

合规证据库：

证据库中的证据资料用于等保测评迎检，方便在测评检查过程快速查找相关文档记录等证明材料。系统自动归集各信息系统在差距评估过程中填报的各控制项符合情况的证据资料。

信息安全管理体系iso27001，安恒信息通过ISO27001信息安全国际认证

【 资讯】日前信息安全管理体系iso27001信息安全管理体系iso27001，安恒信息通过ISO27001信息安全国际认证考证含金量排行榜，安恒信息成功获得DNV颁发的ISO :2013认证，成为全国第一家获得该版认证的信息安全厂商，并成为全球第一批具备2013版国际信息安全标准的IT服务商之一。

是当今国际上最权威、最严格，也是最被广泛接受和应用的信息安全领域的体系认证标准，:2013详细规定了在组织中建立、实施、维护和持续改进信息安全管理系统的具体要求，并相对于2005版进行了极大的改动，2013版对企业的信息资产管理、风险管控、业务连续性、产品合规性、开发流程等制定了更严格的要求。通过该版认证，代表了企业管理信息安全的能力达到更高的国际水平，也已成为全球性客户选择IT服务商的关键指标。

安恒信息作为中国领先的智慧城市与移动互联网安全解决方案提供商，一直致力于为客户提供先进的信息安全产品和优质的信息安全服务，也一贯重视对安全产品合规性和安全服务遵从性的安全体系建设。此次DNV对安恒信息的认证既包括了防火墙、网络脆弱性扫描产品、安全审计产品、网站恢复产品、入侵检测产品的开发、生产、售后服务，也涵盖了安全咨询服务、风险评估服务、安全运维服务、应急处理服务、灾难恢复服务、安全审计服务、安全培训服务。这意味着业界完全认可安恒信息对信息安全管理的严格承诺，也为客户选择更安全可控的信息安全产品和服务提供了审核保障，更从第三方角度证明了安恒信息的信息安全管理实力。

安恒信息会将继续完善信息安全管理体系，进一步将信息安全管理理念纳入安全产品和服务的全生命周期，确保自身和客户的风险降至最低，为政府和企业提供更专业、更安全的产品和服务，持续保持业内可管、可控、可信的安全厂商高度。