需求分析

金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统，随着全球信息技术的快速发展，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构所面临的信息科技风险也随之增大。面对金融体系改革与WTO国际结轨的双重压力，以及网络黑客的攻击与不法组织的蓄意破坏，风险的抵御能力还有待提高，为此国家相关部门也在积极促进信息安全等级保护工作的推进，意在促进国内金融体系建立起信息安全保障机制，以增强抵御外界风险的能力，防止金融系统风险的发生。

金融行业进行信息化建设起步较早，但传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别进行管理，各系统单独保护，相互冲突和割裂，形成信息孤岛，导致安全信息分散，互不相通，安全策略难以保持一致；此外，各安全系统单独建设，造成分散、低水平重复投资，在建立长效机制方面也考虑较少，难以做到可持续运行、发展和完善；这种传统的管理运行方式已成为许许多多安全隐患的根源，因此金融系统对信息安全体系的建设既存在符合政策合规性管理的要求，又存在自身安全保障体系建设的需求。

方案描述

启明星辰信息技术股份有限公司根据金融系统实际的安全需求出发，在全面体现GB17859-1999的等级化标准思想的基础上，以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》等相关标准与指南为主要指导，充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架（如IATF等）、信息安全管理标准ISO/IEC 17799：2000和ISO/IEC TR 13335系列标准，根据金融行业的特点和信息化现状，运用业界权威的安全风险评估标准与模型，结合启明星辰多年的安全风险评估经验与实践，从组织保障层面（人）、运营管理保障层面（过程）以及技术实现与保障层面（技术）三个层面（简称PPT）提出了基于等级保护的信息安全保障体系整体框架和设计方案。

方案整体架构

启明星辰基于等级保护的金融信息安全保障体系整体架构如下图所示：