IT Compliance Analysis(簡稱ICA)安全合規分析系統是專業IT安全分析系統。
簡介,系統主要特點,系統架構圖,系統常用功能介紹,4.1基礎信息管理,4.2定級備案管理,5.3差距評估管理,4.4整改規劃管理,4.5落實整改管理,
簡介
IT Compliance Analysis(簡稱ICA)安全合規分析系統是專業IT安全分析系統。系統通過對信息安全的分析,結合安全合規管理制度,達到幫助建設以及改善企業信息安全合規管理體系的目標。系統能夠在信息系統生命周期的不同階段,生成不同的安全合規手冊,通過檢查信息系統中的各種安全合規項信息,生成安全合規測試報告,來達到對安全合規的管理,幫助企業規避合規風險,打造加強企業安全體系的解決方案。
伴隨著企業的信息化發展和建設,企業業務越來越依賴信息技術,而企業的安全風險隨之加大。
安全合規分析系統藉助專業廠商的長期安全知識與經驗積累,打造自身的安全合規管理體系,是企業防患於未然的重要措施。可以幫助企業建設一個包括安全組織體系、安全管理體系和安全技術體系的全面安全保障體系,包含貫穿始終的安全策略、風險評估、安全管理,以及終端用戶行為監管;而在技術層面上需要考慮綜合採取多種保護措施,保護網路和安全域邊界、網路及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。
系統主要特點
安全合規分析系統基於專業的安全知識與專家的管理經驗設計開發而成,依託於專家級的經驗知識庫量身打造,提供了多種圖形化的分析展示工具從而易於使用,採用了中心集中式的數據管理方式,提供了實時的合規狀態呈現功能,建立了有效的合規保障機制,為客戶帶來了便捷的監督管理措施。
系統架構圖
安全合規分析系統架構圖系統常用功能介紹
4.1基礎信息管理
單位信息:
記錄系統的主管單位信息,包括所屬行業類別、負責人信息、責任部門、隸屬關係、單位類型、所擁有的信息系統總數等功能。支持公安部等級保護備案端軟體數據的導入。
信息系統管理:
記錄管理各個信息系統的基本信息,包括系統名稱,系統承載業務情況,系統服務情況等,管理系統拓撲結構圖。
資產收集管理:
按照業務套用軟體、主機存儲設備等七大類收集管理系統相關資產信息,支持資產收集批量導入。
資料文檔庫:
管理維護等級保護工作相關的資料文檔,包括有相關標準、政策檔案庫,上級通知檔案,本單位相關制度等。
等保資料知識庫:
系統提供40餘份等級保護相關的政策法規、國家標準,包括各主管部門歷次發布檔案、管理技術相關要求標準、等保相關指南(定級、實施、基本要求等)。
4.2定級備案管理
系統定級:
依照《信息系統安全等級保護定級指南》,軟體內置“信息系統定級嚮導“,從業務信息安全和系統服務兩個方面分析,確定安全等級和保護基線,自動生成《定級報告》,輔助完成系統定級工作。
系統備案:
軟體系統根據單位信息和系統定級情況,自動生成符合公安機關備案要求的《信息系統備案表》。
定級備案材料匯總:
匯總各個信息系統各個時期的定級、備案信息,包括《定級報告》、《備案表》、三級以上系統定級相關材料等。
5.3差距評估管理
評估方案制定:
根據信息系統的安全等級和保護基線,制定差距評估方案,包括人員分工情況,項目負責人設定,並將結果報送領導審批。
控制項評估:
根據評估方案中的人員分工,相關責任人員登錄到系統內,按照控制域->控制點->控制項的要求,實現逐項的線上評估。
評估結果分析:
將差距分析結果形成豐富而詳細的圖型及報表,如:總體符合度情況統計,各個層面符合度情況統計、差距項列表等。系統自動生成word、pdf版的信息系統差距評估報告。
可持續評估:
當信息系統進行新一次的差距評估時,可以繼承上一次差距評估的結果,包括人員分工情況、控制項符合程度及評估描述、相關證據等。只調整少量變化的控制項即可完成新一次的評估工作。
4.4整改規劃管理
整改需求分析:
歸併各個信息系統歷次評估後的不符合項和部分符合項,形成一套總體的信息安全需求,為制定整改方案設計、整改任務規劃奠定基礎。系統自動生成《整改建議報告》。
整改規劃知識庫:
系統提供全面等級保護建設知識庫,涵蓋了《安全技術整改工作流程》、《安全管理整改工作流程》、《技術方案設計要求》、《安全功能和產品類型庫》、《技術方案設計實例庫》、《等級保護整改方案參考》等內容。
整改方案管理:
系統提供整改方案模板供用戶使用,同時用戶可以在系統中維護歷次的整改方案文檔。
任務規劃:
根據需求分析的差距項目,用戶可以在系統中制定相關的整改任務,系統中的【安全建設知識庫】會根據具體的控制項以【實踐參考】的形式提出相關的整改任務建議。將任務下發後即可形成任務實施規劃。
任務職責分配實施規劃藍圖:
系統提供對整改任務總體規劃的查詢和展現,從時間安排、任務所屬安全域和任務類型等幾個角度來統計匯總整改實施過程中的相關任務。系統支持自動生成《等級保護實施規劃報告》。
4.5落實整改管理
整改落實知識庫:
系統包含了整改落實階段的知識庫,包括《安全技術方案庫》、《安全管理制度庫》、《基本安全配置參考庫》、《安全意識教育知識庫》等。
任務進度填報:
任務責任人在系統中填報整改任務執行進度,信息安全負責人對全部任務的執行過程進行狀態跟蹤。在任務執行完畢後,針對差距項進行重新評估,完成PDCA閉環管理。
整改落實情況分析:
從各個部門、安全域、任務類別、差距項、任務重要性、風險級別、預算執行情況等多維度、多視角來查看整改任務的落實情況,監督、敦促等級保護整改工作的落實,實現等保建設工作的常態化運行。
監督檢查通知管理:
管理記錄主管部門(如公安機關、行業主管部門)的關於等級保護測評工作的監督檢查通知檔案。
報送材料準備:
準備報送材料,獲得信息系統運營使用單位主管領導的審批,查詢歷史數據提交情況。
測評檢查結果管理:
錄入主管部門對監督檢查的意見,查詢歷史監督檢查意見。
合規證據庫:
證據庫中的證據資料用於等保測評迎檢,方便在測評檢查過程快速查找相關文檔記錄等證明材料。系統自動歸集各信息系統在差距評估過程中填報的各控制項符合情況的證據資料。
