二级三级等保对比表

技术要求

2.2管理要求

机房等保三级要求

1.1 技术要求 (4) 1.1.1 物理安全 (4) 1.1.1.1 物理位置的选择（G3） (4) 1.1.1.2 物理访问控制（G3） (4) 1.1.1.3 防盗窃和防破坏（G3） (4) 1.1.1.4 防雷击（G3） (4) 1.1.1.5 防火（G3） (4) 1.1.1.6 防水和防潮（G3） (5) 1.1.2 结构安全（G3） (5) 1.1.2.2 访问控制（G3） (5) 1.1.2.4 边界完整性检查（S3） (5) 1.1.2.5 入侵防范（G3） (5) 1.1.2.6 恶意代码防范（G3） (6) 1.1.2.7 网络设备防护（G3） (6) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别（S3） (6) 1.1.3.2 访问控制（S3） (6) 1.1.3.3 安全审计（G3） (6) 1.1.3.4 剩余信息保护（S3） (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别（S3） (7) 1.1.4.2 访问控制（S3） (7) 1.1.4.5 通信完整性（S3） (7) 1.1.4.6 通信保密性（S3） (7)

1.1.5 数据安全及备份恢复 (8) 1.1.5.1 数据完整性（S3） (8) 1.1.5.2 数据保密性（S3） (8) 1.1.5.3 备份和恢复（A3） (8) 1.2 管理要求 (9) 1.2.1 安全管理制度 (9) 1.2.1.1 管理制度（G3） (9) 1.2.1.2 制定和发布（G3） (9) 1.2.2.2 人员配备（G3） (9) 1.2.2.3 授权和审批（G3） (9) 1.2.2.4 沟通和合作（G3） (9) 1.2.2.5 审核和检查（G3） (10) 1.2.3 人员安全管理 (10) 1.2.3.1 人员录用（G3） (10) 1.2.3.2 人员离岗（G3） (10) 1.2.3.3 人员考核（G3） (10) 1.2.3.4 安全意识教育和培训（G3） (10) 1.2.3.5 外部人员访问管理（G3） (11) 1.2.4 系统建设管理 (11) 1.2.4.1 系统定级（G3） (11) 1.2.4.2 安全方案设计（G3） (11) 1.2.4.3 产品采购和使用（G3） (11)

市人民医院三级等保测评服务采购项目采购文件【模板】

项目编号：XXX XX市人民医院三级等保测评服务 采购项目 采 购 文 件 XX·XX XX市人民医院编制 2019年11月

目录 第一章投标邀请函...................................................................................................................... - 2 -第二章供应商须知...................................................................................................................... - 3 -第三章投标文件格式................................................................................................................ - 14 -第四章供应商和投标产品的资格、资质性及其他类似效力要求 ........................................ - 24 -第五章供应商应当提供的资格、资质性及其他类似效力要求的相关证明材料 ................ - 24 -第六章采购项目技术、商务及其他要求................................................................................ - 26 -第七章评标办法（最低评标价法）........................................................................................ - 35 -第八章合同主要条款（样例）- 40 -

三级等保评测文件资料

信息系统安全等级测评 报告模板 项目名称： 委托单位： 测评单位： 年月日

报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表） 描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。 二、等级测评结果 依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。 三、系统存在的主要问题 依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息

声明 声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容： 本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结论。 本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年月

主机安全等保三级要求及其实现

主机安全等保三级要求及其实现 ●国家保密局文件（国家保密标准BMB17-2006）: 系统内重要服务器和安全保密设备应尽可能采用安全操作系统或对操作系统采取安全加固措施。 ●中华人民共和国国家标准《信息安全技术信息系统安全等级保护基本要求》（信息安全技术操作系统安全技术要求）： 第三级主机安全、系统安全要实现：信息主、客体安全标记；强制访问控制；管理分权控制；数据完整性、保密性；安全审计。 信息安全体系相当于整个信息系统的免疫系统，免疫系统不健全，信息系统不仅是低效的，甚至是危险的。 国家计算机信息系统安全保护条例要求，信息安全等级保护要实现五个安全层面（即物理层、网络层、系统层、应用层和管理层）的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环，也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。目前，普遍采用的国际主流C级操作系统其安全性远远不够，访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞，是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出: “我国信息技术领域存在着自主创新技术不足，核心技术和关键设备主要依赖进口。”长期以来，我国广泛应用的主流操作系统都是进口产品，无安全性可言。如不从根本上解决，长此以往，就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C级操作系统，即商用操作系统。商用操作系统不是安全的操作系统，它在为我们计算机信息系统带来无限便捷的同时，也为我们的信息安全、通信保密乃至国家安全带

三级等保的标准是什么

因为每个单位、每个企业的信息系统、重要程度、应对威胁的能力、具有的安全保护能力等方面的不同，所以需要按照等级保护对象受到破坏时，对客体造成侵害的程度分别进行不同等级的保护。相信关注过等保这块内容应该都知道信息系统的安全等级被分为五个等级，他们分别是第一级自主保护、第二级指导保护、第三极监督保护、第四级强制保护、第五级专控保护。今天就给大家介绍一下其中我们接触可能会比较多一点的第三级等级保护，以及它的相关标准。 三级等保是指信息系统收到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统，重要领域、重要部门跨省、跨市或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统，跨省或全国联网运行的重要信息系统在省、地市的分支系统，中央各

部委、省（区、市）门户网站和重要网站，跨省联接的网络系统等。 第三级安全保护能力需达到：在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭受攻击损害后，能较快恢复绝大部分功能。 三级等保在系统开发过程中的作用：在系统开发过程中，要考虑评测指标，满足相关安全要求，例如身份鉴别的要求、访问控制的要求、安全审计的要求等等。通过满足安全评测指标，排除系统的安全隐患，提升系统的安全等级。 安畅网络是中国市场专业的云托管服务商（Cloud MSP），在数据中心和云计算领域有近十年的专业交付和管理经验，目前正服务于2000多家企业级客户并与全球多家超大规模公有云服务商建立了战略合作关系。在云计算驱动产业变革的今天，安畅以客户需求为驱动，积极投资于核心技术研发和团队组织的云原生技能，致力于成为IT

三级等保测评要求-对点应答

1.1.1.1 物理位置的选择 1.1.1.1.1 测评单元（L3-PES1-01） a)测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内；（本条款引用自GB/T 22239.1-20XX 7.1.1.1 a）） b)测评对象 记录类文档和机房。 c)测评实施 1)应核查所在建筑物是否具有建筑物抗震设防审批文档； 2)应核查机房是否不存在雨水渗漏； 机房存在漏水隐患位置，包括窗户、门、管道等做好防水封堵。 3)应核查门窗是否不存在因风导致的尘土严重； 门窗、地面、墙面、天花刷防尘漆及贴防尘保温棉。设备需在基础装修完成静止放置除灰后进场运行。 4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。 选择前及选址中确定，避开这些隐患位置。 d)单元判定 如果1）-4）均为肯定，则等级保护对象符合本测评单元指标要求，否则，等级保护对象不符合或部分符合本测评单元指标要求。 1.1.1.1.2 测评单元（L3-PES1-02） a)测评指标 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。（本条款引用自GB/T 22239.1-20XX 7.1.1.1 b）） 机房选址注意此项即可。 b)单元判定 如果以上测评实施内容为肯定，则等级保护对象符合本测评单元指标要求，否则，等级保护对象不符合本测评单元指标要求。 1.1.1.2 物理访问控制

1.1.1.1.1测评单元（L3-PES1-03） a)测评指标 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。（本条款引用自GB/T 22239.1-20XX 7.1.1.2） 机房门口做好电子门禁系统，控制系统。配置门禁及刷卡设备、指纹等控制系统 1.1.1.3 防盗窃和防破坏 1.1.1.3.1 测评单元（L3-PES1-04） a)测评指标 应将设备或主要部件进行固定，并设置明显的不易除去的标记；（本条款引用自GB/T 22239.1-20XX 7.1.1.3 a）） b)测评对象 机房设备或主要部件。 c)测评实施 1)应核查机房内设备或主要部件是否固定； 机房内所有部件配电柜、桥架、机柜、设备等均做好固定。 2)应核查机房内设备或主要部件上是否设置了明显且不易除去的标记。 做好机房内设备的标签标识。有固定资产需求的单位还应做好固定资产编制。 d)单元判定 如果1）-2）均为肯定，则等级保护对象符合本测评单元指标要求，否则，等级保护对象不符合或部分符合本测评单元指标要求。 1.1.1.3.2 测评单元（L3-PES1-05） a)测评指标 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；（本条款引用自GB/T 22239.1-20XX 7.1.1.3 b）） 设计方案将通讯线缆设计为弱电上走线桥架中。做好屏蔽安装桥架。 b)测评对象 机房通信线缆。 c)测评实施

新版等级保护三级管理测评.pdf

三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 安全管理机构岗位 设置 1. 应设立信息安全管理工作的职能部门，设立安全主管 人、安全管理各个方面的负责人岗位，定义各负责人的 职责。 访谈，检查。安全主管，安全管理某方 面的负责人，部门、岗位职责文件。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗 位，定义各个工作岗位的职责。 3. 应成立指导和管理信息安全工作的委员会或领导小 组，其最高领导由单位主管领导委任或授权。 4. 应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。 人员 配备 5. 应配备一定数量的系统管理员、网络管理员、安全管 理员等。访谈，检查。安全主管，人员配备要求 的相关文档，管理人员名单。 6.应配备专职安全管理员，不可兼任。 7.关键事务岗位应配备多人共同管理。 授权 和审 批 8. 应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。 访谈，检查。安全主管，关键活动的批 准人，审批事项列表，审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等 事项建立审批程序，按照审批程序执行审批过程，对 重要活动建立逐级审批制度。 10.应定期审查审批事项，及时更新需授权和审批的项目、

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 审批部门和审批人等信息。 11.应记录审批过程并保存审批文档。 沟通和合作12. 应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通，定期或不定期召 开协调会议，共同协作处理信息安全问题。 访谈，检查。安全主管，安全管理人员， 会议文件，会议记录，外联单位说明文 档。 ` 13. 应加强与兄弟单位、公安机关、电信公司的合作与沟 通。 14. 应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。 15. 应建立外联单位联系列表，包括外联单位名称、合作 内容、联系人和联系方式等信息。 16. 应聘请信息安全专家作为常年的安全顾问，指导信息 安全建设，参与安全规划和安全评审等。 审核和检查17. 安全管理员应负责定期进行安全检查，检查内容包括 系统日常运行、系统漏洞和数据备份等情况。 访谈，检查。安全主管，安全员，安全 检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查，检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。 19. 应制定安全检查表格实施安全检查，汇总安全检查数 据，形成安全检查报告，并对安全检查结果进行通报。

医院等保三级测评方案、网络信息安全等级保护测评方案

医院网络信息系统三级等保测评方案 北京XX科技有限公司 2019年8月

目录 第1章方案概述 (5) 1.1 背景 (5) 1.2 方案设计目标 (7) 1.3 方案设计原则 (8) 1.4 方案设计依据 (9) 第2章信息系统定级情况 (12) 第3章安全需求分析 (13) 3.1 安全指标与需求分析 (13) 第4章信息安全体系框架设计 (16) 第5章管理体系整改方案 (17) 5.1 安全制度制定解决方案 (17) 5.1.1 策略结构描述 (17) 5.1.2 安全制度制定 (20) 5.1.3 满足指标 (21) 5.2 安全制度管理解决方案 (21) 5.2.1 安全制度发布 (21) 5.2.2 安全制度修改与废止 (22) 5.2.3 安全制度监督和检查 (22) 5.2.4 安全制度管理流程 (23) 5.2.5 满足指标 (26) 5.3 安全教育与培训解决方案 (27) 5.3.1 信息安全培训的对象 (27) 5.3.2 信息安全培训的内容 (28) 5.3.3 信息安全培训的管理 (29) 5.3.4 满足指标 (30) 5.4 人员安全管理解决方案 (30) 5.4.1 普通员工安全管理 (30) 5.4.2 安全岗位人员管理 (32) 5.4.3 满足指标 (37) 5.5 第三方人员安全管理解决方案 (37) 5.5.1 第三方人员短期访问安全管理 (38) 5.5.2 第三方人员长期访问安全管理 (39) 5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42) 5.6 系统建设安全管理解决方案 (43) 5.6.1 系统安全建设审批流程 (43) 5.6.2 项目立项安全管理 (44) 5.6.3 信息安全项目建设管理 (46) 5.6.4 满足指标 (50)

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择（G3） (3) 1.1.1.2 物理访问控制（G3） (3) 1.1.1.3 防盗窃和防破坏（G3） (3) 1.1.1.4 防雷击（G3） (3) 1.1.1.5 防火（G3） (3) 1.1.1.6 防水和防潮（G3） (4) 1.1.1.7 防静电（G3） (4) 1.1.1.8 温湿度控制（G3） (4) 1.1.1.9 电力供应（A3） (4) 1.1.1.10 电磁防护（S3） (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全（G3） (4) 1.1.2.2 访问控制（G3） (4) 1.1.2.3 安全审计（G3） (5) 1.1.2.4 边界完整性检查（S3） (5) 1.1.2.5 入侵防范（G3） (5) 1.1.2.6 恶意代码防范（G3） (5) 1.1.2.7 网络设备防护（G3） (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别（S3） (6) 1.1.3.2 访问控制（S3） (6) 1.1.3.3 安全审计（G3） (6) 1.1.3.4 剩余信息保护（S3） (7) 1.1.3.5 入侵防范（G3） (7) 1.1.3.6 恶意代码防范（G3） (7) 1.1.3.7 资源控制（A3） (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别（S3） (7) 1.1.4.2 访问控制（S3） (8) 1.1.4.3 安全审计（G3） (8) 1.1.4.4 剩余信息保护（S3） (8) 1.1.4.5 通信完整性（S3） (8) 1.1.4.6 通信保密性（S3） (8) 1.1.4.7 抗抵赖（G3） (8) 1.1.4.8 软件容错（A3） (8) 1.1.4.9 资源控制（A3） (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性（S3） (9) 1.1.5.2 数据保密性（S3） (9)

信息系统等级保护第三级基本要求

1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前 设置交付或安装等过渡区域； d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统； f)应对机房设置监控报警系统。 1.1.1.4 防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5 防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

机房等保三级要求内容

1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择（G3） (3) 1.1.1.2 物理访问控制（G3） (3) 1.1.1.3 防盗窃和防破坏（G3） (3) 1.1.1.4 防雷击（G3） (3) 1.1.1.5 防火（G3） (3) 1.1.1.6 防水和防潮（G3） (4) 1.1.2 结构安全（G3） (4) 1.1.2.2 访问控制（G3） (4) 1.1.2.4 边界完整性检查（S3） (4) 1.1.2.5 入侵防（G3） (4) 1.1.2.6 恶意代码防（G3） (5) 1.1.2.7 网络设备防护（G3） (5) 1.1.3 主机安全 (5) 1.1.3.1 身份鉴别（S3） (5) 1.1.3.2 访问控制（S3） (5) 1.1.3.3 安全审计（G3） (6) 1.1.3.4 剩余信息保护（S3） (6) 1.1.4 应用安全 (6) 1.1.4.1 身份鉴别（S3） (6) 1.1.4.2 访问控制（S3） (6) 1.1.4.5 通信完整性（S3） (7) 1.1.4.6 通信性（S3） (7) 1.1.4.7 抗抵赖（G3） (7) 1.1.4.8 软件容错（A3） (7) 1.1.4.9 资源控制（A3） (7) 1.1.5 数据安全及备份恢复 (7) 1.1.5.1 数据完整性（S3） (7) 1.1.5.2 数据性（S3） (8) 1.1.5.3 备份和恢复（A3） (8) 1.2 管理要求 (8) 1.2.1 安全管理制度 (8) 1.2.1.1 管理制度（G3） (8) 1.2.1.2 制定和发布（G3） (8) 1.2.2.2 人员配备（G3） (8) 1.2.2.3 授权和审批（G3） (9) 1.2.2.4 沟通和合作（G3） (9) 1.2.2.5 审核和检查（G3） (9) 1.2.3 人员安全管理 (9) 1.2.3.1 人员录用（G3） (9) 1.2.3.2 人员离岗（G3） (10) 1.2.3.3 人员考核（G3） (10) 1.2.3.4 安全意识教育和培训（G3） (10) 1.2.3.5 外部人员访问管理（G3） (10) 1.2.4 系统建设管理 (10)

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指 南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院 ??号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发????????号）、《关于信息安全等级保护工作的实施意见》（公通字????????号）和《信息安全等级保护管理办法》（公通字????????号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ???????????????信息安全技术信息系统安全等级保护定级指南； ???????????????信息安全技术信息系统安全等级保护基本要求； ??????????????信息安全技术信息系统安全等级保护实施指南； ??????????????信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南

范围 本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 ??????????信息技术词汇第 部分：安全????????????计算机信息系统安全保护等级划分准则??????????????信息安全技术信息系统安全等级保护定级指南??????????????信息安全技术信息系统安全等级保护基本要求?????????????信息安全技术信息系统安全等级保护实施指南?????????????信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字????????号） 术语和定义 ??????????、????????????、

三级等保测评要求-对点应答上课讲义

三级等保测评要求-对点应答 1.1.1.1物理位置的选择 1.1.1.1.1测评单元（L3-PES1-01） a)测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内；（本条款引用自GB/T 22239.1-20XX 7.1.1.1 a）） b)测评对象 记录类文档和机房。 c)测评实施 1)应核查所在建筑物是否具有建筑物抗震设防审批文档； 2)应核查机房是否不存在雨水渗漏； 机房存在漏水隐患位置，包括窗户、门、管道等做好防水封堵。 3)应核查门窗是否不存在因风导致的尘土严重； 门窗、地面、墙面、天花刷防尘漆及贴防尘保温棉。设备需在基础装修完成静止放置除灰后进场运行。 4)应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。 选择前及选址中确定，避开这些隐患位置。 d)单元判定 如果1）-4）均为肯定，则等级保护对象符合本测评单元指标要求，否则，等级保护对象不符合或部分符合本测评单元指标要求。 1.1.1.1.2测评单元（L3-PES1-02） a)测评指标

机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。（本条款引用自GB/T 22239.1-20XX 7.1.1.1 b）） 机房选址注意此项即可。 b)单元判定 如果以上测评实施内容为肯定，则等级保护对象符合本测评单元指标要求，否则，等级保护对象不符合本测评单元指标要求。 1.1.1.2物理访问控制 1.1.1.1.1测评单元（L3-PES1-03） a)测评指标 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。（本条款引用自GB/T 22239.1-20XX 7.1.1.2） 机房门口做好电子门禁系统，控制系统。配置门禁及刷卡设备、指纹等控制系统 1.1.1.3防盗窃和防破坏 1.1.1.3.1测评单元（L3-PES1-04） a)测评指标 应将设备或主要部件进行固定，并设置明显的不易除去的标记；（本条款引用自GB/T 22239.1-20XX 7.1.1.3 a）） b)测评对象 机房设备或主要部件。 c)测评实施 1)应核查机房内设备或主要部件是否固定；

网络安全等级保护第三级基本要求内容

1 第三级基本要求（共290小项） 1.1 技术要求（共136小项） 1.1.1 物理安全（共32小项） 1.1.1.1 物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设 置交付或安装等过渡区域； d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统； f)应对机房设置监控报警系统。 1.1.1.4 防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5 防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c)应采取措施防止机房水蒸气结露和地下积水的转移与渗透；

等保三级基础知识

等保三级基础知识 信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 如何才能保证网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，需要做到保证网络的物理安全，保证网络拓扑结构和系统的安全。一．如何才能保证网络的物理安全？ 物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必需的。 物理安全主要包括三个方面：场地安全(环境安全):是指系统所在环境的安全，主要是场地与机房；设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等)；介质安全（媒体安全）:包括媒体的数据的安全及媒体本身的安全。 1.场地安全

为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据GB9361-1988，计算机机房的安全等级分为A类、B类、C类三个基本类别。 A级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。 B级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于A、C级之间。 C级机房:对计算机机房的安全有基本的要求，有基本的计算机安全措施，C级机房具有最低限度的安全性和可靠性。 在实际的应用中，可根据使用的具体情况进行机房等级的设置，同一机房也可以对不同的设备(如电源、主机)设置不同的级别。 2.设备安全 设备安全包括设备的防盗和防毁，防止电磁信息泄露，前置线路截获、抗电磁干扰一级电源的保护。其主要内容包括: (1)设备防盗。 可以使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护计算机系统设备和部件，以提高计算机信息系统设备和部件的安全性。

安全系统等保第三级基本要求

信息安全技术 信息系统安全等级保护基本要求Information security technology- Baseline for classified protection of information system

1 第三级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设 置交付或安装等过渡区域； d)重要区域应配置电子门禁系统（电子门禁锁），控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统（红外线防盗报警器）； f)应对机房设置监控报警系统（高清摄像头）。 1.1.1.4 防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5 防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

三级等保

第三级基本要求 第三级基本要求在技术上包括5个方面：物理安全、主机安全、网络安全、应用安全和数据安全，详见《基本要求》，这里总结了三级系统在二级系统基础上增加的主要安全要求。 1)物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。三级系统主要在环境安全、物理访问控制和防盗窃防破坏等方面较二级系统应有所加强，例如重要区域配置电子门禁系统，机房设置防盗报警系统和设置火灾自动消防系统等。 2)网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤，实现应用层HTTP、FTP、TELNET等协议命令级的控制；边界防护应能够对非授权设备私自联到内部网络的行为进行检查和有效阻断；主要网络设备要求采用两种或两种以上组合的鉴别技术实现身份鉴别；在网络入侵防范方面不仅能够被动的防护，还应能主动发出报警。 3)主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。三级要求主要增强点：身份鉴别要求对管理用户采用组合鉴别技术；通过设置敏感标记加强对重要信息资源的访问控制；安全审计应对记录数据进行分析、生成报表，保护审计进程；入侵防范应能检测到对重要服务器的入侵行为，并报警，保证重要程序的完整性；对恶意代码的防范应与网络防恶意代码产品异构。 4)应用安全：包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。三级要求主要增强点：身份鉴别要求组合鉴别技术；访问控制和安全审计基本同主机安全增强要求；要求对通信过程中的整个报文或会话过程进行加密，采用密码技术保证通信过程中数据的完整性；增加抗抵赖要求，为数据原发者或接收者提供数据原发证据或接收证据；应用软件容错能力和资源控制方面要求也有所增强。 5)数据安全：包括数据完整性和保密性、数据的备份和恢复。三级要求主要增强点：对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复，采用加密或其他有效措施实现以上数据传输和存储的保密性；提供异地数据备份等。

等级保护三级管理测评.doc

三级管理要求 (S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 符合情况类别序号测评内容测评方法结果记录 Y N O 应设立信息安全管理工作的职能部门，设立安全主管 1. 人、安全管理各个方面的负责人岗位，定义各负责人的 职责。 应设立系统管理人员、网络管理人员、安全管理人员岗 岗位 2. 访谈，检查。安全主管，安全管理某方 位，定义各个工作岗位的职责。 安全 设置面的负责人，部门、岗位职责文件。 管理 3. 应成立指导和管理信息安全工作的委员会或领导小 机构组，其最高领导由单位主管领导委任或授权。 应制定文件明确安全管理机构各个部门和岗位的职 4. 责、分工和技能要求。 人员应配备一定数量的系统管理员、网络管理员、安全管访谈，检查。安全主管，人员配备要求 5. 配备理员等。的相关文档，管理人员名单。

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容 符合情况 测评方法结果记录 Y N O 授权和审6. 7. 8. 9. 应配备专职安全管理员，不可兼任。 关键事务岗位应配备多人共同管理。 应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。 应针对系统变更、重要操作、物理访问和系统接入等 事项建立审批程序，按照审批程序执行审批过程，对 重要活动建立逐级审批制度。 访谈，检查。安全主管，关键活动的批 准人，审批事项列表，审批文档。 批 应定期审查审批事项，及时更新需授权和审批的项目、 10. 审批部门和审批人等信息。 11. 应记录审批过程并保存审批文档。 沟通应加强各类管理人员之间、组织内部机构之间以及信和合12.息安全职能部门内部的合作与沟通，定期或不定期召作开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员， 会议文件，会议记录，外联单位说明文 ` 档。

安全等保第三级基本要求内容-(2307)

可编辑版 信息安全技术 信息系统安全等级保护基本要求 Information security technology- Baseline for classified protection of information system

1第三级基本要求 1.1技术要求 1.1.1物理安全 1.1.1.1物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交 付或安装等过渡区域； d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统； f)应对机房设置监控报警系统。 1.1.1.4防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

等保测评流程

目录 目录 (1) 一、等级保护流程 (2) 1.1 基本流程 (2) 1.2 详细流程说明 (2) 1.2.1 定级和备案 (2) 1.2.1.1 定级标准 (3) 1.2.1.2 定级方法 (4) 1.2.1.3 医院定级参考 (5) 1.2.2 信息安全等级保护整改 (6) 1.2.2.1 信息系统安全建设整改总体框架 (7) 1.2.2.2 信息系统安全建设整改工作基本流程 (8) 1.2.2.3 安全管理制度建设 (9) 1.2.2.4 安全技术措施建设 (12) 1.2.3 信息安全等级保护测评 (14) 1.2.4 公安机关检查 (15) 1.2.4.1 检查内容 (16) 二、医院信息安全等级保护工作建议 (17)

一、等级保护流程 1.1基本流程 定级 备案 信息安全等级保护整改 信息安全等级保护测评（测评机构每年） 公安机关检查（网监） 1.2详细流程说明 1.2.1定级和备案 相关国家政策文件——关于开展全国重要信息系统安全等级保护定级工作的通知（公安部） 相关部门指导文件——卫生行业信息安全等级保护工作的指导意见（卫生部） 定级及等保指南文件——卫办发〔2011〕85号（卫生部） 摘要： 1、各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。 说明：由运营使用单位（即医院）起草报告提交网监。 2、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。 说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。《信息系统安全等级保护定级报告》模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。 3、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。 说明：备案由医院提交备案表给网监。信息系统安全等级保护备案表模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。 4、三级甲等医院的核心业务信息系统信息系统安全保护等级原则上不低于第三级。 说明：此定级标准为卫生部印发《卫生行业信息安全等级保护工作的指导意见（卫办发〔2011〕85号）》文件中第四条明确要求。