安言咨询为游戏行业企业提供等保咨询落地服务

来源：    发布日期：2018.04.09   点击量：

    3月28日下午，上海市信息网络安全管理协会联合上海市网络游戏行业协会举办了关于游戏行业信息系统等级保护定级、测评辅导培训会议。上海市公安局网络安全保卫总队、公安部第三研究所与上海游戏企业代表200多人共同参与。上海市公安局网络安全保卫总队领导及相关科室、上海市信息网络安全管理协会刘春梅秘书长、上海市网络游戏行业协会会长韩帅应邀出席。 

    此次培训主要针对网络游戏行业现状及需重点关注的安全问题、网络游戏行业等级保护定级要求、网络安全等级保护测评实务三个方面进行了相关介绍和讲解。

    安言咨询为企业提供信息安全等级保护服务，下文详细介绍。

4月15日前，上海游戏企业需要完成

定级阶段采取自主定级、专家评审、主管机构审批、公安审查4步骤完成。

定级对象

门户网站：网络游戏企业门户网站、游戏宣传门户。

用户管理系统：提供用户注册、用户实名认证，以及为下属所运营游戏提供统一用户认证。

游戏论坛及社区：为玩家提供的游戏类讨论与经验分享讨论。

战网类游戏平台：为旗下多款游戏提供统一入口和用户认证的游戏平台，如QQ游戏大厅等。

备案阶段则将定级报告、备案表交由系统所属地网安，网安审核通过后发放审核结果通知。

10月1日前，上海游戏企业需要完成

    整改阶段由信息系统运营维护机构自行或聘请第三方等保咨询机构或其他方式，通过将待测评系统的安全现状与备案级别标准的要求进行对标审查，在技术上、管理上、产品上进行安全规划、评审、建设及差距分析，将与标准间存在的合规差距问题进行修补、改正。

    测评阶段由信息系统运营维护机构聘请等保测评机构进行专业测评。若信息系统测评结果不存在高风险问题，单项符合率达到60%以上，且总体测评分数不低于80分（百分制），则达到基本符合的最低要求。

安言咨询为企业提供等保咨询服务

    安言咨询是国内领先的信息安全及风险咨询服务提供者。秉持中立和客观原则，同时建立广泛信息安全产业链的价值合作，致力于为各行业客户实现符合业务发展需要的信息安全、风险管理及合规审计的专业服务解决方案。以下是信息安全等级保护有关内容。

信息安全等级保护系列标准关系图

    企业将在下阶段逐步启动安全等级评估、安全体系设计、安全体系建设和安全运维建设等活动，各阶段的主要工作应包括：

安全等级评估

    该阶段可由企业信息管理部门牵头，应针对企业信息网络进行安全风险评估服务，完成安全等级评估和安全保障体系的规划工作，具体任务包括：

    对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。通过等级评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，使企业信息系统在在技术和管理方面进行有针对性的加强和完善，使企业的信息系统安全工作有的放矢。主要评估内容包括：

等级保护实施内容

• 了解企业信息系统的管理、网络和系统安全现状；
• 确定可能对企业信息资产造成危害的威胁；
• 确定威胁实施的可能性；
• 对企业最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；
• 明确企业信息系统的已有安全措施的有效性；
• 明晰企业信息系统的安全管理需求。

安全体系设计

    企业在完成安全等级评估后，将对等级评估的结果进行全面分析，确认安全需求，并根据公安部的等级保护基本要求进行方案的设计和规划，主要内容包括：

信息系统等级保护实施方法

• 资产分析与赋值：对信息资产、威胁、弱点和安全风险进行总体分析，并根据重要性确定其赋值。

• 安全需求分析：根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。

• 总体安全设计：形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和安全保护特殊要求，构建机构信息系统的安全技术体系结构和安全管理体系结构。

• 安全建设规划：形成可操作的安全建设项目，覆盖国家等级保护的基本要求，同时也要满足企业的实际需求。

• 安全技术体系结构设计：根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，提出系统需要实现的安全技术措施，形成机构特定的系统安全技术体系结构，用以指导信息系统分等级保护的具体实现。

• 整体安全管理体系结构设计：根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等，调整原有管理模式和管理策略，既从全局高度考虑为每个等级信息系统制定统一的安全管理策略，又从每个信息系统的实际需求出发，选择和调整具体的安全管理措施，最后形成统一的整体安全管理体系结构。

安全体系建设

    企业应充分结合信息化建设的中长期发展规划和安全建设资金状况，确定各个时期的安全建设目标，将建设内容组合成不同的项目，然后分阶段完成安全体系的建设，最终实现整体的安全建设目标，具体过程包括：

• 安全建设目标确定：完成信息化建设中长期发展规划和安全需求分析，提出信息系统安全建设分阶段目标，制定系统在规划期内所要实现的总体安全目标，制定系统短期要实现的安全目标，主要解决目前急迫和关键的问题。

• 安全建设内容规划：根据信息系统安全总体方案明确主要的安全建设内容，并将其适当的分解；组合安全建设内容为不同的安全建设项目，描述项目所解决的主要安全问题及所要达到的安全目标。

• 形成安全建设项目计划：根据等级保护的建设目标和建设内容，在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。

• 技术措施实现：完成信息安全产品采购；完成安全控制开发；完成安全控制集成；完成策略配置；完成总体验收；

• 管理措施实现：完成管理机构和人员的设置；完成管理制度的建设和修订；定期进行人员安全技能培训；进行安全实施过程管理等内容。

安全运维建设

    安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，对于企业信息系统，在安全运维方面，重点是安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。

相关新闻：