北京某银行信息系统安全管理体系建设及等级保护三级符合性评估项目

项目概述

  该银行依据信息系统安全规划的“整体规划、分步实施、夯实基础、整体推进、持续提升”的信息安全建设工作方针和“系统分级、防护分域、预防为主、积极管控”总体安全防护策略，逐步推进公司信息系统安全建设。


项目目标

   通过本项目初步建立公司信息安全管理体系，优化公司信息安全防护策略，进行公司信息安全评估和加固，保证公司信息系统达到国家等保三级水平、保监会的信息安全保护能力的第6级水平，完成相关材料的整理以备国家信息系统安全测评机构的测评工作需要，并能为公司信息系统在公安部门顺利备案准备材料。


项目实施过程

   此次无国界将项目成员分为三组，分别是网络割接和安全策略梳理与实施为一组，评估和加固为一组，安全管理制度编写为一组。


   我们的安全顾问首先是对整网进行割接并分析各个业务间的访问关系，得出相应的访问关系后再进行相应的策略实施。


   其次，进行全面的风险评估并根据评估的结果做相应的加固。成都三联创信科技有限公司的安全顾问在风险评估服务中，本项目参照国内外风险管理标准，建立了风险评估模型，如下：
      


   我们安全顾问最后对管理制度编写和信息安全人员培训，管理制度主要是依据ISO/IEC 27001:2005《信息安全管理体系要求》；培训主要从如下几点进行
 

项目成果

    网络割接成功，实现了重要部分重点保护。

   信息系统等保评估后发现不适用14项，不符合98项。风险评估后发现中风险3项，高风险10项，并针对对这些风险做了相应的加固处理。

   无国界的安全顾问对公司整网进行分析后，得出各业务之间的访问关系并加以实施相应的策略，提高了系统抵御黑客入侵的能力和公司的安全性。

   安全顾问编写了100多个安全管理制度，形成《安全管理制度汇编》并发布，使信息安全工作有法可依。

   该银行员工通过课程培训，提高了人员的安全意识水平，全员认识自身在安全体系中的位置，以及本岗位的安全职责。

   准备了国家等级保护测评所需要的材料。


 总体评价

   本项目对北京某银行建立起了信息安全管理体系，优化了公司信息安全防护策略，对公司的信息安全进行了评估和加固，使公司信息系统达到国家等保三级水平，并为公司信息系统在公安部门顺利备案准备材料，安全顾问在整个项目实施过程中得到了客户的一致好评。