等级保护体系建设咨询服务

    依据 GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 国家等级保护制度的要求和对网络信息安全的实际需求，根据 “ 等级化安全体系 ” 的理念，采用体系化和等级化相结合的方法，协助用户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。积极探索等级保护与 ISO27001 相结合的实践方案。

详细内容： 艾瑞信安等级化安全体系咨询服务参照《安全等级保护办法》和《信息系统安全等级保护实施指南》，提供一套等级化的安全体系设计方法和保障服务。

    “ 等级化安全体系 ” 是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。

    整体的安全保障体系包括技术和管理两大部分，其中管理部分可以分为策略、组织和运作三个部分。即整个体系分为四部分，包括策略体系、组织体系、技术体系和运作体系。整个安全保障体系的四个部分既有机结合，又相互支撑，之间的关系为 “ 根据安全策略体系中策略，由组织体系（或人员），利用技术体系作为工具和手段，进行操作来维持运行体系

    依据 GB17859 、 GB/T20269 、 GB/T20270 、 GB/T20271 、 GB/T20272 、 GB/T20273 、 GB/T20282 国家等级保护制度的要求和对网络信息安全的实际需求，根据 “ 等级化安全体系 ” 的理念，采用体系化和等级化相结合的方法，协助用户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。 艾瑞信安在大量的咨询案例中，积极探索等级保护与 ISO27001/ISO20000/COBIT 等国际标准相结合的可实行方案，取得了用户示范效应和实践效益的巨大成功。

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：

1. 系统识别与定级：通过分析各应用系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。

2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

3. 安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。

4. 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。

5. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

6. 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。

7. 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。

通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障系统整体的安全。