等级保护咨询及整改服务案例     

项目背景

某中心是全市综合经济运行管理的重要决策咨询和信息服务机构，隶属于当地的发展和改革委员会。负责全市经济信息系统建设的规划和组织，统一管理信息网络的开发和利用；向市委、市政府及综合部门提供经济信息、经济形势分析预测；为各部门采用先进手段开展业务和处理事务提供技术和信息支持，开展公众信息咨询服务和国内外的信息交流。

为贯彻和响应国家及行业等级保护相关文件要求，保护应用系统的安全性，不断提升核心竞争力，某中心依据《中华人民共和国网络安全法》和《信息安全技术 网络安全等级保护基本要求》等相关要求开展等级保护测评工作，并委托麻豆对向市委/市政府及综合部门提供经济信息和经济形势分析预测、向社会公众发布政务信息的重要网站、云平台等五个重要应用系统进行定级备案、安全评估、差距分析、安全整改、应急演练等工作。

解决思路

麻豆根据中心应用系统安全的实际情况和要求，成立项目组，制定项目实施方案。通过采取人员访谈、文件审核、现场调研等方法，对五个应用系统进行系统定级、系统备案、安全评估，采用工具结合人工分析的方式对五个应用系统进行渗透测试，同时使用麻豆脆弱性扫描系统对78台资产设备进行漏洞扫描查找安全隐患。在评估过程中对发现的问题进行差距分析，出具整改建议，并协助某中心开展整改工作，结合国家和行业法律法规、政策、标准，制定符合某中心安全管理要求、可落实、符合等级保护相关要求的安全管理制度体系。

为验证应急预案的适用性，找出应急预案存在的问题，建立和保持可靠的信息渠道及应急人员的协同性，确保所有应急组织都熟悉并能够正确履行其职责，组织某中心、产品供应商、网络安全服务商等开展网络安全应急预案的培训和演练；演练结束后，针对这次演练活动进行认真总结，同时建议某中心针对应急演练中出现的问题及时进行整改，对各岗位的责任制再次加以明确和落实。

用户收益

通过本项目的实施，全面发现了某中心各类应用系统资产和系统的安全隐患，并针对性的提出安全整改建议与协助整改，使某中心充分了解到网络安全工作的重要性，加强了某中心发现安全问题和处理安全问题的能力，保障了某中心系统定级的准确性和系统备案的实操性，并为安全管理体系的持续改进，提供了支撑和指导，全面提升网络和信息安全管理水平。