本发明专利技术公开了等级保护测评中整改管理方法、系统及计算机存储介质,方法包括:获取测评人员输入的整改内容;向整改负责人发送通知;获取整改负责人输入的整改内容;向测评人员发起整改审核;向测评人员发送通知;获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。本申请在等级保护测评软件上向被测单位的整改负责人提供了相应的权限,整改负责人可以直接登录测评软件,查阅测评人员提交的不符合、部分符合项的内容,进行整改后在线上录入整改内容,使测评机构和被测单位之间的整改沟通完全在线上进行,因此整改内容可全流程追踪,大大提高了整改效率。提高了整改效率。提高了整改效率。
【技术实现步骤摘要】
等级保护测评中整改管理方法、系统及计算机存储介质
[0001]本专利技术涉及信息安全保护
,特别涉及等级保护测评中整改管理方法、系统及计算机存储介质。
技术介绍
[0002]等级保护测评是经认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受被测单位委托,按照相关管理规范和技术标准,对被测单位的信息系统安全等级保护状况进行检测评估的活动。
[0003]在等级保护测评过程中,测评机构针对被测单位的情况会作出相应的整改建议,这些整改建议将形成文件,例如word文件,被测单位的整改负责人按照文件记载的整改建议进行整改,并在文件中添加相应证明后反馈至测评机构,直到当前的等级保护测评评分以及测评结论符合出具报告的要求,测评机构会出具等级保护测评报告,整个测评过程结束。
[0004]当客户的被测信息系统体量庞大的时候,测评单位提出的整改建议将动辄达到几百条,给测评工作带来极大的工作量,且不利于对整改过程进行有效追踪。
技术实现思路
[0005]本专利技术实施例提供了等级保护测评中整改管理方法、系统及计算机存储介质,用以解决现有技术中采用word文件进行整改情况反馈存在工作量大和不利于整改过程追踪的问题。
[0006]一方面,本专利技术实施例提供了等级保护测评中整改管理方法,包括:
[0007]获取测评人员输入的整改内容;
[0008]向整改负责人发送通知;
[0009]获取整改负责人输入的整改内容;
[0010]向测评人员发起整改审核;/>[0011]向测评人员发送通知;
[0012]获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;
[0013]在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
[0014]另一方面,本专利技术实施例提供了等级保护测评中整改管理系统,包括:
[0015]第一整改获取模块,用于获取测评人员输入的整改内容;
[0016]整改通知模块,用于向整改负责人发送通知;
[0017]第二整改获取模块,用于获取整改负责人输入的整改内容;
[0018]整改审核模块,用于向测评人员发起整改审核;
[0019]测评通知模块,用于向测评人员发送通知;
[0020]第三整改获取模块,用于获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;
[0021]整改调整模块,用于在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
[0022]另一方面,本专利技术实施例提供了一种计算机存储介质,该计算机存储介质中存储有多条计算机指令,该多条计算机指令用于使计算机执行上述的方法。
[0023]本专利技术中的等级保护测评中整改管理方法、系统及计算机存储介质,具有以下优点:
[0024]1、被测单位的整改负责人可及时获知当前被测系统的测评情况。
[0025]2、被测单位的整改负责人可及时提交不符合/部分符合项的整改记录以及相关附件。
[0026]3、测评人员可实时获知已整改的核查项。
[0027]4、测评人员无需再从“整改建议报表”中查询整改项,并与测评系统上的核查项进行对应。
[0028]5、风险整改过程可视、可追踪溯源。
[0029]6、有效提升风险整改的效率。
附图说明
[0030]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0031]图1为现有技术中采用的等级保护测评方法的流程图;
[0032]图2为现有技术中采用的整改管理方法流程图;
[0033]图3为本专利技术实施例提供的等级保护测评中整改管理方法的流程图。
具体实施方式
[0034]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0035]现有技术中,标准的等级保护测评流程如图1所示,主要包括被测系统信息收集、资产收集、现场核查、风险分析、整体测评、总体评价以及报告输出。在资产收集完毕后,会根据《信息安全技术网络安全等级保护基本要求》等测评要求,针对每一个资产生成若干核查项。在现场核查阶段,会针对每一个资产的每一条核查项进行合规性判断。每一条核查项都有如下几种结果可供选择:符合、部分符合、不符合和不适用。初步完成现场核查后,会进入到风险分析阶段,该阶段需要被测单位的整改负责人进行配合。测评机构提供当前被测系统的不符合项、部分符合项给整改负责人,督促其整改,并收集整改记录。根据整改负责人提供的整改记录以及整改证明,调整被测单位被测系统相应核查项的符合情况。当等级保护测评评分以及测评结论符合出具报告的要求之后,出具等级保护测评报告。等级保护测评流程结束。在完成现场核查后,进入风险分析阶段,需要整改负责人对不符合、部分符
合的核查项进行整改。所谓整改就是将不符合、部分符合的核查项反馈给整改负责人,告知如何整改,督促其整改。风险整改的过程,通常会经过几轮循环,最终将不符合、部分符合的项整改成为符合。
[0036]当前测评人员与被测单位之间沟通风险整改信息,主要依赖于word格式的整改建议报表,如图2所示,该表中包含了被测单位当前被测系统的中的所有不符合、部分符合项。该整改建议报表反馈至被测单位处的整改负责人处,整改负责人根据安全问题描述、安全建设整改建议进行整改,并将整改结果以及相关证明添加至对应的空行。之后,将该整改建议报表反馈至测评人员,测评人员再依据客户的反馈结果,修改对应核查项的整改情况以及符合情况。当客户的被测信息系统体量庞大的时候,不符合、部分符合项动辄几百条,给测评工作带来极大的工作量,且不利于对整改过程进行有效追踪。
[0037]为解决现有技术中的问题,本申请在等级保护测评软件上向被测单位的整改负责人提供了相应的权限,整改负责人可以直接登录测评软件,查阅测评人员提交的不符合、部分符合项的内容,进行整改后在线上录入整改记录和证明文件,使测评机构和被测单位之间的整改沟通完全在线上进行,因此整改内容可全流程追踪,而且摈弃了线下沟通的方式,大大提高了整改效率。
[0038]图3为本专利技术实施例提供的等级保护测评中整改管理方法的流程图。本专利技术实施例提供的等级保护测评中整改管理方法,包括:
[0039]S100,获取测评人员输入的整改内容。
[0040]示例性地,测评开始后,首先由测评人员完成被测系统信息收集、资产收集和现场核查的工作,现场核查工作完成后,会形成针对每一项资产的多个核查项,每个核查项均有符合、部分本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.等级保护测评中整改管理方法,其特征在于,包括:获取测评人员输入的整改内容;向整改负责人发送通知;获取整改负责人输入的整改内容;向测评人员发起整改审核;向测评人员发送通知;获取测评人员输入的整改意见,根据所述整改意见确定本次整改是否符合整改要求;在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。2.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,所述向整改负责人发送通知,包括:以系统通知或邮件的方式向整改负责人发送通知。3.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,所述向测评人员发送通知,包括:以系统通知或邮件的方式向测评人员发送通知。4.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,在本次整改不符合整改要求时,驳回整改负责人发起的整改审核请求,并向整改负责人发送通知。5.根据权利要求4所述...
【专利技术属性】
技术研发人员:张维,陈凯伦,
申请(专利权)人:西安小西牛等保软件开发有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。