三级信息安全等级保护

三级信息安全等级保护服务内容

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

三级信息安全等级保护申报要求

国家信息安全等级保护制度第三级要求

1 第三级基本要求

1.1技术要求

1.1.1 物理安全

1.1.1.1 物理位置的选择(G3)

本项要求包括:

a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制(G3)

本项要求包括:

a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安

装等过渡区域;

d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3)

本项要求包括:

a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;

d) 应对介质分类标识,存储在介质库或档案室中;

e) 应利用光、电等技术设置机房防盗报警系统;

f) 应对机房设置监控报警系统。

1.1.1.4 防雷击(G3)

本项要求包括:

a) 机房建筑应设置避雷装置;

b) 应设置防雷保安器,防止感应雷;

c) 机房应设置交流电源地线。

7.1.1.5 防火(G3)

本项要求包括:

a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。

1.1.1.6 防水和防潮(G3)

本项要求包括:

a) 水管安装,不得穿过机房屋顶和活动地板下;

b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;

d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

1.1.1.7 防静电(G3)

本项要求包括:

a) 主要设备应采用必要的接地防静电措施;

b) 机房应采用防静电地板。

1.1.1.8 温湿度控制(G3)

机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应(A3)

本项要求包括:

a) 应在机房供电线路上配置稳压器和过电压防护设备;

b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;

c) 应设置冗余或并行的电力电缆线路为计算机系统供电;

d) 应建立备用供电系统。

1.1.1.10 电磁防护(S3)

本项要求包括:

a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

b) 电源线和通信线缆应隔离铺设,避免互相干扰;

c) 应对关键设备和磁介质实施电磁屏蔽。

1.1.2 网络安全

1.1.2.1 结构安全(G3)

本项要求包括:

a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;

b) 应保证网络各个部分的带宽满足业务高峰期需要;

c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

d) 应绘制与当前运行情况相符的网络拓扑结构图;

e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,

并按照方便管理和控制的原则为各子网、网段分配地址段;

f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取

可靠的技术隔离手段;

g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护

重要主机。

1.1.2.2 访问控制(G3)

本项要求包括:

a) 应在网络边界部署访问控制设备,启用访问控制功能;

b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3

三级信息安全等级保护实施原则

根据《信息系统安全等级保护实施指南》精神，明确了以下基本原则：

自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。

重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

三级信息安全等级保护政策法规

中华人民共和国计算机信息系统安全保护条例 （1994年国务院147号令）

（“第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”）

计算机信息系统安全保护等级划分准则 （GB 17859-1999）

（“第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级”）

国家信息化领导小组关于加强信息安全保障工作的意见 （中办发[2003]27号）

关于信息安全等级保护工作的实施意见 （公通字[2004]66号）

信息安全等级保护管理办法 （公通字[2007]43号）

关于开展全国重要信息系统安全等级保护定级工作的通知 （公信安[2007]861号）

关于开展信息安全等级保护安全建设整改工作的指导意见 （公信安[2009]1429号）

中华人民共和国网络安全法（2017年6月1日发布）

地方及行业范例

关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 （发改高技[2008]2071号）

关于进一步推进中央企业信息安全等级保护工作的通知

水利网络与信息安全体系建设基本技术要求 （2010年3月）

证券期货业信息系统安全等级保护基本要求(试行) （JR/T 0060-2010）

山西省计算机信息系统安全保护条例 （2009年1月）　广东省计算机信息系统安全保护条例 （2008年4月）

宁夏回族自治区计算机信息系统安全保护条例 （2009年10月）

徐州市计算机信息系统安全保护条例 （2009年1月）

十三大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）

信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）

信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

三级信息安全等级保护常见问题

一、什么是等级保护?

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

二、等级保护分为几个等级?

分为五个等级，分别为：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)系统的重要程度从1-5级逐级升高。

三、等级保护工作具体步骤是怎样的?

根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：

信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

四、去哪里进行信息系统的定级备案工作?

全国绝大部分地方规定：各地级市的单位将定级资料交给各自地级市的网安支队，省级单位将资料交给省公安网安总队，特定行业有要求的另说，也有部分地方是先将资料交到区县网安大队，再由区县网安大队转

五、什么是等级保护测评?

等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程，测评结束后出具相应的信息系统测评报告。

六、信息系统的测评多久需要测一次?

四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评，时间上没有强制要求，部分行业有行业标准要求，如电力行业明确二级系统两年做一次测评。

七、等级保护测评一般多长时间能测完?

现场测评周期一般一周左右，具体看信息系统数量及信息系统的规模，有所增减。小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月。如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一年内要完成。

八、等级保护测评的费用是多少?

测评的费用首先是按照信息系统来算，不是按照一个单位，不同等级的测评费用不一样。费用每个省市具体要求不一样，通常每个省市都有自己的一个价格体系，二级和三级系统的测评费用相对都是固定的，如某些省市：二级系统不低于4万元;三级系统不低于8万元。

九、等级保护测评后的最终结论分为哪几种?

测评最终结论分为不符合、基本符合和符合三种。除了结论之外还有具体得分，如82分。

十、等级保护测评结论不符合是不是等级保护工作就白做了?

等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差，不符合等保的相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准。

十一、测评结束后有什么书面性的材料证明自己开展过等保工作?

书面性材料有：一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明;另一个就是测评报告，加盖过测评机构公章及测评专用章。

三级信息安全等级保护价格说明

由于办理时间、公司所在城市、办理所需材料等诸多因素，本网所标示的价格，仅供用户参考，实际办理价格均以最终合同为准。