關于我們

?2020 年，有孚網絡與上海某高校合作，通過 “實地調研&方案規劃——體系建立——第三方驗證——實現安全運維” 的一條龍服務運作，以 “網絡安全等級保護”、“信息安全管理體系” 為分解目標，實現了?“安全運維” 的總目標。

去年，教育部印發《2020 年教育信息化和網絡安全工作要點》，在信息化 2.0 行動計劃基礎上明確教育信息化應提升網絡安全人才支撐和保障能力，加強網絡安全防護和保障能力。

現學校常設信息化管理部，以支撐整個學校信息化建設及運維保障工作，建設安全管理中心，關注網絡安全、保護信息系統、降低風險發生可能性和影響的范圍程度，從而保障網絡通暢、數據中心可靠運行，其承載的信息系統可用性和完整性。

“如何更好地保障網絡信息安全” 是包括高校在內所有行業信息化過程中需要面對的共同課題。

有孚網絡，依據公司多年標準化管理與數據中心管理運營經驗，基于 GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》及國家政策指導，可與學校信息化管理部共同協作，在學校信息化中心安全管理現狀基礎上采用國際標準 GB/T22080-2016/ISO/IEC 27001:2013《信息安全管理體系要求》構建科學、可行的運行管理體系，以保障校園網絡運營以及數據中心安全運維。

實地調研 & 方案規劃

通過現場實地訪談調研，在了解學?，F有日常工作及管理方式后，有孚網絡與高校老師攜手推出了有效、可實施的《關于信息安全管理體系及安全數據中心運營差距分析及建議書》，并共同推進信息安全管理體系的建立。

信息安全管理體系建立

Plan

1、與領導層、業務相關方訪談:

（1）建立工作小組，確認主導部門及認證主體;

（2）把握關鍵目標以及方針：無重大信息安全事件發生，實現信息資產無破壞零損失，確保業務系統持續可靠運行;
（3）以過程進行梳理現有安全措施，明確邊界;

（4）對資產進行風險識別、分析、評價，選擇適合的處置方式和控制措施，如定期備份、訪問權按需分配、網絡隔離等。

2、提供 ISO27001 培訓服務，進行全員安全意識培訓：

明確標準要求，熟悉標準條款，結合實際運營，制定適宜措施。

3、根據訪談內容，編寫體系文件：

（1）確認相關部門工作職責、明確責任部門

（2）融入實際管理情況，對后續管理提出指導意見，覆蓋體系要求

Do

按體系文件要求運行，將制度回到日常管理工作中去，保留相關記錄文件，發現體系運行中的問題。

Check

通過實施反饋完善體系管理文件的適宜性，并指導相關人員開展內審管評工作。體系有效運行后將接受第三方審核。

Act

對于發現的不符合項再次整改，持續改進，螺旋上升。

第三方驗證

網絡安全——整理定級、備案材料遞交網安進行備案；協助并指導客戶進行測評及整改，順利通過網絡等級保護 2.0 三級測評。

信息安全——建立體系，整理相關材料并提交，協助并指導客戶進行不符合整改，順利拿到 ISO27001 證書。

第三方驗證，以更專業、更權威的視角肯定了學校信息化建設的技術能力和管理能力，能持續為學校建設高水平大學提供強有力的技術支撐與保障。

實現安全運維

從行政管理手段、技術管理手段兩方面入手，完善管理體系，有效支持校園網的日常運行及運維工作。同時，實現有效性有形資產與無形資產的安全風控，最終做到（重要）信息資產管控及相關風險評估、物理環境管理、人員安全意識培養，及反射至業務安全規程，達成“高效、安全、可靠”的數據中心運維，從多維度真正意義上實現了“安全運維”的總目標。

為何而管？保護信息免受各種威脅的損害，以保證業務連續性。

在哪里管？明確物理范圍。

誰來管？信息化中心主任為最高管理者，網絡管理部主任為管理者代表，主導實施。

怎么管？形成一套完整的體系文件作為指導文件，主要覆蓋網絡管理及數據中心管理的日常工作。

管理效果如何？通過內審管評，以訪談和查閱記錄的方式，并對信息安全目標進行測量，驗證其可行性。

如何驗證管理成效？通過第三方機構現場審核，獲得相應證明。

通過以上標準化的實施及完善，有孚網絡幫助高校信息化完成了信息安全管理體系的 14 個控制域、114 條控制項，完成了網絡安全等級保護的 10 個控制域、231 項控制點，滿足了法律法規要求，有效履行國家標準以及行業需求；滿足了組織期望，從下至上，從內到外提升的自信心；實現了風險管控，保護重要資產，確保核心業務持續運行。后續也將持續貫徹標準精神，以 PDCA 的方法不斷改進、螺旋上升。