項目概述

  該銀行依據(jù)信息系統(tǒng)安全規(guī)劃的“整體規(guī)劃、分步實施、夯實基礎(chǔ)、整體推進(jìn)、持續(xù)提升”的信息安全建設(shè)工作方針和“系統(tǒng)分級、防護(hù)分域、預(yù)防為主、積極管控”總體安全防護(hù)策略，逐步推進(jìn)公司信息系統(tǒng)安全建設(shè)。


項目目標(biāo)

   通過本項目初步建立公司信息安全管理體系，優(yōu)化公司信息安全防護(hù)策略，進(jìn)行公司信息安全評估和加固，保證公司信息系統(tǒng)達(dá)到國家等保三級水平、保監(jiān)會的信息安全保護(hù)能力的第6級水平，完成相關(guān)材料的整理以備國家信息系統(tǒng)安全測評機(jī)構(gòu)的測評工作需要，并能為公司信息系統(tǒng)在公安部門順利備案準(zhǔn)備材料。


項目實施過程

   此次無國界將項目成員分為三組，分別是網(wǎng)絡(luò)割接和安全策略梳理與實施為一組，評估和加固為一組，安全管理制度編寫為一組。


   我們的安全顧問首先是對整網(wǎng)進(jìn)行割接并分析各個業(yè)務(wù)間的訪問關(guān)系，得出相應(yīng)的訪問關(guān)系后再進(jìn)行相應(yīng)的策略實施。


   其次，進(jìn)行全面的風(fēng)險評估并根據(jù)評估的結(jié)果做相應(yīng)的加固。成都三聯(lián)創(chuàng)信科技有限公司的安全顧問在風(fēng)險評估服務(wù)中，本項目參照國內(nèi)外風(fēng)險管理標(biāo)準(zhǔn)，建立了風(fēng)險評估模型，如下：
      


   我們安全顧問最后對管理制度編寫和信息安全人員培訓(xùn)，管理制度主要是依據(jù)ISO/IEC 27001:2005《信息安全管理體系要求》；培訓(xùn)主要從如下幾點(diǎn)進(jìn)行
 

項目成果

    網(wǎng)絡(luò)割接成功，實現(xiàn)了重要部分重點(diǎn)保護(hù)。

   信息系統(tǒng)等保評估后發(fā)現(xiàn)不適用14項，不符合98項。風(fēng)險評估后發(fā)現(xiàn)中風(fēng)險3項，高風(fēng)險10項，并針對對這些風(fēng)險做了相應(yīng)的加固處理。

   無國界的安全顧問對公司整網(wǎng)進(jìn)行分析后，得出各業(yè)務(wù)之間的訪問關(guān)系并加以實施相應(yīng)的策略，提高了系統(tǒng)抵御黑客入侵的能力和公司的安全性。

   安全顧問編寫了100多個安全管理制度，形成《安全管理制度匯編》并發(fā)布，使信息安全工作有法可依。

   該銀行員工通過課程培訓(xùn)，提高了人員的安全意識水平，全員認(rèn)識自身在安全體系中的位置，以及本崗位的安全職責(zé)。

   準(zhǔn)備了國家等級保護(hù)測評所需要的材料。


 總體評價

   本項目對北京某銀行建立起了信息安全管理體系，優(yōu)化了公司信息安全防護(hù)策略，對公司的信息安全進(jìn)行了評估和加固，使公司信息系統(tǒng)達(dá)到國家等保三級水平，并為公司信息系統(tǒng)在公安部門順利備案準(zhǔn)備材料，安全顧問在整個項目實施過程中得到了客戶的一致好評。