CN114971396A - 等级保护测评中整改管理方法、系统及计算机存储介质 - Google Patents

等级保护测评中整改管理方法、系统及计算机存储介质 Download PDF

Info

Publication number
CN114971396A
CN114971396A CN202210707544.6A CN202210707544A CN114971396A CN 114971396 A CN114971396 A CN 114971396A CN 202210707544 A CN202210707544 A CN 202210707544A CN 114971396 A CN114971396 A CN 114971396A
Authority
CN
China
Prior art keywords
rectification
evaluation
notification
person
sending
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202210707544.6A
Other languages
English (en)
Inventor
张维
陈凯伦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xiaoxiniu Software Co ltd
Original Assignee
Xi'an Xiaoxi Niu And Other Security Software Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Xiaoxi Niu And Other Security Software Development Co ltd filed Critical Xi'an Xiaoxi Niu And Other Security Software Development Co ltd
Priority to CN202210707544.6A priority Critical patent/CN114971396A/zh
Publication of CN114971396A publication Critical patent/CN114971396A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • G06Q10/063114Status monitoring or status determination for a person or group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0633Workflow analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications

Abstract

本发明公开了等级保护测评中整改管理方法、系统及计算机存储介质,方法包括:获取测评人员输入的整改内容;向整改负责人发送通知;获取整改负责人输入的整改内容;向测评人员发起整改审核;向测评人员发送通知;获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。本申请在等级保护测评软件上向被测单位的整改负责人提供了相应的权限,整改负责人可以直接登录测评软件,查阅测评人员提交的不符合、部分符合项的内容,进行整改后在线上录入整改内容,使测评机构和被测单位之间的整改沟通完全在线上进行,因此整改内容可全流程追踪,大大提高了整改效率。

Description

等级保护测评中整改管理方法、系统及计算机存储介质
技术领域
本发明涉及信息安全保护技术领域,特别涉及等级保护测评中整改管理方法、系统及计算机存储介质。
背景技术
等级保护测评是经认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受被测单位委托,按照相关管理规范和技术标准,对被测单位的信息系统安全等级保护状况进行检测评估的活动。
在等级保护测评过程中,测评机构针对被测单位的情况会作出相应的整改建议,这些整改建议将形成文件,例如word文件,被测单位的整改负责人按照文件记载的整改建议进行整改,并在文件中添加相应证明后反馈至测评机构,直到当前的等级保护测评评分以及测评结论符合出具报告的要求,测评机构会出具等级保护测评报告,整个测评过程结束。
当客户的被测信息系统体量庞大的时候,测评单位提出的整改建议将动辄达到几百条,给测评工作带来极大的工作量,且不利于对整改过程进行有效追踪。
发明内容
本发明实施例提供了等级保护测评中整改管理方法、系统及计算机存储介质,用以解决现有技术中采用word文件进行整改情况反馈存在工作量大和不利于整改过程追踪的问题。
一方面,本发明实施例提供了等级保护测评中整改管理方法,包括:
获取测评人员输入的整改内容;
向整改负责人发送通知;
获取整改负责人输入的整改内容;
向测评人员发起整改审核;
向测评人员发送通知;
获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;
在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
另一方面,本发明实施例提供了等级保护测评中整改管理系统,包括:
第一整改获取模块,用于获取测评人员输入的整改内容;
整改通知模块,用于向整改负责人发送通知;
第二整改获取模块,用于获取整改负责人输入的整改内容;
整改审核模块,用于向测评人员发起整改审核;
测评通知模块,用于向测评人员发送通知;
第三整改获取模块,用于获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;
整改调整模块,用于在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
另一方面,本发明实施例提供了一种计算机存储介质,该计算机存储介质中存储有多条计算机指令,该多条计算机指令用于使计算机执行上述的方法。
本发明中的等级保护测评中整改管理方法、系统及计算机存储介质,具有以下优点:
1、被测单位的整改负责人可及时获知当前被测系统的测评情况。
2、被测单位的整改负责人可及时提交不符合/部分符合项的整改记录以及相关附件。
3、测评人员可实时获知已整改的核查项。
4、测评人员无需再从“整改建议报表”中查询整改项,并与测评系统上的核查项进行对应。
5、风险整改过程可视、可追踪溯源。
6、有效提升风险整改的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中采用的等级保护测评方法的流程图;
图2为现有技术中采用的整改管理方法流程图;
图3为本发明实施例提供的等级保护测评中整改管理方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,标准的等级保护测评流程如图1所示,主要包括被测系统信息收集、资产收集、现场核查、风险分析、整体测评、总体评价以及报告输出。在资产收集完毕后,会根据《信息安全技术网络安全等级保护基本要求》等测评要求,针对每一个资产生成若干核查项。在现场核查阶段,会针对每一个资产的每一条核查项进行合规性判断。每一条核查项都有如下几种结果可供选择:符合、部分符合、不符合和不适用。初步完成现场核查后,会进入到风险分析阶段,该阶段需要被测单位的整改负责人进行配合。测评机构提供当前被测系统的不符合项、部分符合项给整改负责人,督促其整改,并收集整改记录。根据整改负责人提供的整改记录以及整改证明,调整被测单位被测系统相应核查项的符合情况。当等级保护测评评分以及测评结论符合出具报告的要求之后,出具等级保护测评报告。等级保护测评流程结束。在完成现场核查后,进入风险分析阶段,需要整改负责人对不符合、部分符合的核查项进行整改。所谓整改就是将不符合、部分符合的核查项反馈给整改负责人,告知如何整改,督促其整改。风险整改的过程,通常会经过几轮循环,最终将不符合、部分符合的项整改成为符合。
当前测评人员与被测单位之间沟通风险整改信息,主要依赖于word格式的整改建议报表,如图2所示,该表中包含了被测单位当前被测系统的中的所有不符合、部分符合项。该整改建议报表反馈至被测单位处的整改负责人处,整改负责人根据安全问题描述、安全建设整改建议进行整改,并将整改结果以及相关证明添加至对应的空行。之后,将该整改建议报表反馈至测评人员,测评人员再依据客户的反馈结果,修改对应核查项的整改情况以及符合情况。当客户的被测信息系统体量庞大的时候,不符合、部分符合项动辄几百条,给测评工作带来极大的工作量,且不利于对整改过程进行有效追踪。
为解决现有技术中的问题,本申请在等级保护测评软件上向被测单位的整改负责人提供了相应的权限,整改负责人可以直接登录测评软件,查阅测评人员提交的不符合、部分符合项的内容,进行整改后在线上录入整改记录和证明文件,使测评机构和被测单位之间的整改沟通完全在线上进行,因此整改内容可全流程追踪,而且摈弃了线下沟通的方式,大大提高了整改效率。
图3为本发明实施例提供的等级保护测评中整改管理方法的流程图。本发明实施例提供的等级保护测评中整改管理方法,包括:
S100,获取测评人员输入的整改内容。
示例性地,测评开始后,首先由测评人员完成被测系统信息收集、资产收集和现场核查的工作,现场核查工作完成后,会形成针对每一项资产的多个核查项,每个核查项均有符合、部分符合、不符合和不适用四种结果,对于其中的部分符合和不符合的核查项,测评人员会在系统上录入,并输入相应的整改建议。
S110,向整改负责人发送通知。
示例性地,可以通过系统通知或邮件的方式向整改负责人发送通知。应理解,在向整改负责人发送通知前,首先需要在系统上录入整改负责人的账号和邮箱信息,然后向整改负责人开通账号,整改负责人可以通过网页登录系统,并查看系统发送的通知。或者整改负责人可以在系统中录入自己的邮箱,系统以邮件的方式向整改负责人发送通知后,整改负责人通过邮件即可了解实时的整改状态,然后再登录系统。
S120,获取整改负责人输入的整改内容。
示例性地,当整改负责人查看测评人员录入的整改建议,并对核查项整改完成后,即可在系统上录入整改信息和相关的附件。
S130,向测评人员发起整改审核。
示例性地,在整改负责人完成对核查项的整改,并在系统上录入整改内容后,整改负责人即可点击确定,由系统自动向测评人员发起整改审核。
S140,向测评人员发送通知。
示例性地,可以通过系统通知或邮件的方式向测评人员发送通知。
S150,获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求。
示例性地,测评人员在查看系统通知或邮件后可以了解当前被测单位的整改情况。如果整改负责人发起了整改审核,说明至少一部分核查项已经进行了整改,测评人员通过整改负责人录入的整改内容判断相应核查项的整改情况,并录入相应的整改意见,例如可以通过文字或选项的方式录入整改意见。在测评人员录入整改意见后,系统根据整改意见自动分析确定本次整改是否符合整改要求。
如果本次整改不符合整改要求,则系统会驳回整改负责人发起的整改审核请求,并向整改负责人发送通知。在驳回整改负责人发起的整改审核请求后,可以采用系统通知或邮件的方式向整改负责人发送通知。
S160,在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
示例性地,系统可以自动修改对应核查项的符合情况,例如将原本不符合或部分符合的核查项修改为符合。当被测单位的系统的核查项符合测评要求时,如表1所示,则说明测评结论达标,系统会输出测评报告,该测评报告可以采用系统通知或邮件的方式发送给测评人员和整改负责人以及被测单位的负责人等,整个测评流程结束。
表1核查项情况及等级测评结论
Figure BDA0003705993260000061
本发明实施例还提供了等级保护测评中整改管理方系统,包括:
第一整改获取模块,用于获取测评人员输入的整改内容;
整改通知模块,用于向整改负责人发送通知;
第二整改获取模块,用于获取整改负责人输入的整改内容;
整改审核模块,用于向测评人员发起整改审核;
测评通知模块,用于向测评人员发送通知;
第三整改获取模块,用于获取测评人员输入的整改意见,根据整改意见确定本次整改是否符合整改要求;
整改调整模块,用于在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
本发明实施例还提供了一种计算机存储介质,该计算机存储介质中存储有多条计算机指令,该多条计算机指令用于使计算机执行上述的方法。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.等级保护测评中整改管理方法,其特征在于,包括:
获取测评人员输入的整改内容;
向整改负责人发送通知;
获取整改负责人输入的整改内容;
向测评人员发起整改审核;
向测评人员发送通知;
获取测评人员输入的整改意见,根据所述整改意见确定本次整改是否符合整改要求;
在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
2.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,所述向整改负责人发送通知,包括:
以系统通知或邮件的方式向整改负责人发送通知。
3.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,所述向测评人员发送通知,包括:
以系统通知或邮件的方式向测评人员发送通知。
4.根据权利要求1所述的等级保护测评中整改管理方法,其特征在于,在本次整改不符合整改要求时,驳回整改负责人发起的整改审核请求,并向整改负责人发送通知。
5.根据权利要求4所述的等级保护测评中整改管理方法,其特征在于,在驳回整改负责人发起的整改审核请求后,以系统通知或邮件的方式向整改负责人发送通知。
6.等级保护测评中整改管理方系统,其特征在于,包括:
第一整改获取模块,用于获取测评人员输入的整改内容;
整改通知模块,用于向整改负责人发送通知;
第二整改获取模块,用于获取整改负责人输入的整改内容;
整改审核模块,用于向测评人员发起整改审核;
测评通知模块,用于向测评人员发送通知;
第三整改获取模块,用于获取测评人员输入的整改意见,根据所述整改意见确定本次整改是否符合整改要求;
整改调整模块,用于在本次整改符合整改要求时,修改本次整改对应核查项的符合情况。
7.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有多条计算机指令,所述多条计算机指令用于使计算机执行权利要求1-5任一项所述的方法。
CN202210707544.6A 2022-06-21 2022-06-21 等级保护测评中整改管理方法、系统及计算机存储介质 Withdrawn CN114971396A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210707544.6A CN114971396A (zh) 2022-06-21 2022-06-21 等级保护测评中整改管理方法、系统及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210707544.6A CN114971396A (zh) 2022-06-21 2022-06-21 等级保护测评中整改管理方法、系统及计算机存储介质

Publications (1)

Publication Number Publication Date
CN114971396A true CN114971396A (zh) 2022-08-30

Family

ID=82965584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210707544.6A Withdrawn CN114971396A (zh) 2022-06-21 2022-06-21 等级保护测评中整改管理方法、系统及计算机存储介质

Country Status (1)

Country Link
CN (1) CN114971396A (zh)

Similar Documents

Publication Publication Date Title
US8266050B2 (en) System and method for processing loans
WO2019041859A1 (zh) 监察信息处理方法、装置、服务器和存储介质
US20050065839A1 (en) Methods, systems and computer program products for generating an aggregate report to provide a certification of controls associated with a data set
JP2012504289A (ja) オンラインビジネストランザクションデータを使用するローンアクセスの評価
CN109598519B (zh) 车辆审核方法、装置、计算机设备和存储介质
CN108182627A (zh) 一种根据用户行为实现用户信用评估的系统
CN114897596A (zh) 一种函证服务平台和电子设备
CN111489255A (zh) 数据的授信方法、装置、设备及计算机可读存储介质
CN109284978B (zh) 一种精准识别贫困户的系统及识别方法
WO2020073516A1 (zh) 基于数据分析选择供应商的方法、装置和计算机设备
KR20200048966A (ko) 무역 관련 업체 인증 시스템 및 방법
Boonpheng et al. Benefits of blockchain technology and cryptocurrency for construction engineering management
CN114971396A (zh) 等级保护测评中整改管理方法、系统及计算机存储介质
CN114742563A (zh) 一种自动化交易风控系统
CN115600972A (zh) 一种不良资产的核销方法、装置、设备及存储介质
CN114066413A (zh) 数字化人才招聘面试方法及系统
CN114757556A (zh) 汽车行业信息安全体系可信赖度评估方法及评估系统
CN113327023A (zh) 穿行测试方法、装置、电子设备及计算机可读存储介质
KR101353898B1 (ko) 철도 안전성 문서 인증 또는 검증 장치 및 동 장치를 이용한 인증 또는 검증 방법
CN110751460A (zh) 一种业务信息处理方法
US20220391920A1 (en) Method and system for the automatic assessment of installer companies for fire-extinguishing facilities
CN114240405B (zh) 一种基于数据分析的关务智能管理系统
KR100435193B1 (ko) 리스크 평가에 의한 온라인 감사관리 시스템
CN117240766B (zh) 一种网络安全等级保护测评自动分级评选方法及系统
CN114647865A (zh) 基于云服务的企业金融服务综合管理工作系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221228

Address after: 100000 91826, Floor 9, Building 683, Zone 2, No. 5, Zhongguancun South Street, Haidian District, Beijing

Applicant after: Beijing Xiaoxiniu Software Co.,Ltd.

Address before: Room 407, 4th Floor, West House, A6, Yunhuigu, Software New Town, No. 156, Tiangu Eighth Road, High-tech Zone, Xi'an City, Shaanxi Province 710076

Applicant before: Xi'an Xiaoxi Niu and other security software development Co.,Ltd.

WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20220830