項(xiàng)目概述

  該銀行依據(jù)信息系統(tǒng)安全規(guī)劃的“整體規(guī)劃、分步實(shí)施、夯實(shí)基礎(chǔ)、整體推進(jìn)、持續(xù)提升”的信息安全建設(shè)工作方針和“系統(tǒng)分級(jí)、防護(hù)分域、預(yù)防為主、積極管控”總體安全防護(hù)策略，逐步推進(jìn)公司信息系統(tǒng)安全建設(shè)。


項(xiàng)目目標(biāo)

   通過本項(xiàng)目初步建立公司信息安全管理體系，優(yōu)化公司信息安全防護(hù)策略，進(jìn)行公司信息安全評(píng)估和加固，保證公司信息系統(tǒng)達(dá)到國(guó)家等保三級(jí)水平、保監(jiān)會(huì)的信息安全保護(hù)能力的第6級(jí)水平，完成相關(guān)材料的整理以備國(guó)家信息系統(tǒng)安全測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)工作需要，并能為公司信息系統(tǒng)在公安部門順利備案準(zhǔn)備材料。


項(xiàng)目實(shí)施過程

   此次無國(guó)界將項(xiàng)目成員分為三組，分別是網(wǎng)絡(luò)割接和安全策略梳理與實(shí)施為一組，評(píng)估和加固為一組，安全管理制度編寫為一組。


   我們的安全顧問首先是對(duì)整網(wǎng)進(jìn)行割接并分析各個(gè)業(yè)務(wù)間的訪問關(guān)系，得出相應(yīng)的訪問關(guān)系后再進(jìn)行相應(yīng)的策略實(shí)施。


   其次，進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估并根據(jù)評(píng)估的結(jié)果做相應(yīng)的加固。成都三聯(lián)創(chuàng)信科技有限公司的安全顧問在風(fēng)險(xiǎn)評(píng)估服務(wù)中，本項(xiàng)目參照國(guó)內(nèi)外風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，建立了風(fēng)險(xiǎn)評(píng)估模型，如下：
      


   我們安全顧問最后對(duì)管理制度編寫和信息安全人員培訓(xùn)，管理制度主要是依據(jù)ISO/IEC 27001:2005《信息安全管理體系要求》；培訓(xùn)主要從如下幾點(diǎn)進(jìn)行
 

項(xiàng)目成果

    網(wǎng)絡(luò)割接成功，實(shí)現(xiàn)了重要部分重點(diǎn)保護(hù)。

   信息系統(tǒng)等保評(píng)估后發(fā)現(xiàn)不適用14項(xiàng)，不符合98項(xiàng)。風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)中風(fēng)險(xiǎn)3項(xiàng)，高風(fēng)險(xiǎn)10項(xiàng)，并針對(duì)對(duì)這些風(fēng)險(xiǎn)做了相應(yīng)的加固處理。

   無國(guó)界的安全顧問對(duì)公司整網(wǎng)進(jìn)行分析后，得出各業(yè)務(wù)之間的訪問關(guān)系并加以實(shí)施相應(yīng)的策略，提高了系統(tǒng)抵御黑客入侵的能力和公司的安全性。

   安全顧問編寫了100多個(gè)安全管理制度，形成《安全管理制度匯編》并發(fā)布，使信息安全工作有法可依。

   該銀行員工通過課程培訓(xùn)，提高了人員的安全意識(shí)水平，全員認(rèn)識(shí)自身在安全體系中的位置，以及本崗位的安全職責(zé)。

   準(zhǔn)備了國(guó)家等級(jí)保護(hù)測(cè)評(píng)所需要的材料。


 總體評(píng)價(jià)

   本項(xiàng)目對(duì)北京某銀行建立起了信息安全管理體系，優(yōu)化了公司信息安全防護(hù)策略，對(duì)公司的信息安全進(jìn)行了評(píng)估和加固，使公司信息系統(tǒng)達(dá)到國(guó)家等保三級(jí)水平，并為公司信息系統(tǒng)在公安部門順利備案準(zhǔn)備材料，安全顧問在整個(gè)項(xiàng)目實(shí)施過程中得到了客戶的一致好評(píng)。