等级保护三级安全建设

等级保护方案旨在保障信息系统安全，重点包括物理安全、网络安全、主机安全等方面的技术规范和管理要求。根据《信息系统安全等护基本要求》GB/T 22239-2008，等保三级建设需满足技术要求如物理位置选择、物理访问控制、防盗窃和防破坏等内容，并通过测评评分合格后可获得备案证。同时，办理等保三级需遵循备案流程：编写定级报告、提交材料审核、完成设备采购及调试、邀请测评机构全面测评等步骤。

随着信息技术的迅速发展，在保障信息安全方面的要求也日益提高。从外部环境来看，信息安全问题已经成为当前信息化建设中的一个重点议题，在这一领域内的投入与关注程度也在不断提升。从27号文件开始，《XXX》一系列文件被相继发布，《XXX》明确提出了以"适度安全、分级保护"为核心理念的建设思路，并得到了公安部、国家保密局、国家密码管理局以及国家互联网信息办公室等相关部门的支持与推动。这些政策要求国内重要信息系统必须按照等级保护原则进行相应的安全防护体系建设

以下是关于三级建设的具体要求：1. 第一级目标为实现区域经济均衡发展；2. 第二级重点在于优化产业结构与提升基础设施水平；3. 第三级则聚焦于推动科技创新与产业升级。

该标准遵循信息安全标准并采用GB/T 22239-2008

七个核心要点

7.1.1.1 确定物理位置（G3）

本项要求涵盖具体要求

机房和办公场地应位于具备抗地震、抗风灾和抗雨害等多种能力的建筑之内；

机房场地不应设在建筑较高的楼层或地下设施区域，并且应避免设置于与给水设备相邻的楼层或隔壁区域。

7.1.1.2 物理层面的安全访问控制（A级）

本项目的要求包含具体的各项标准

机房出入口应由指定人员负责管理，并在进入前对所有人员进行控制、鉴别识别及信息登记。

访问人员进入机房前需完成申请审批程序，并进行管理与监督。

对划分为不同区域的机房实施管理措施，并在不同区域之间布置物理隔离设施，在关键区域内设立交付或施工过渡区。

在重要区域应部署电子门禁系统以监管进入人员的信息

请关注：具体要求将依据《信息系统安全保护基本要求》中华人民共和国国家标准GB/T 22239-2008进行制定。

第三级安全保护能力：该系统能在统一的安全策略指导下抵御外部有组织团体及资源丰富的攻击者发起的一系列恶意攻击以及严重自然灾害或其他高危威胁所导致的重大资源损失。当系统出现漏洞或发生事故时,可迅速识别问题并迅速修复大部分功能。

扩展资料：作为丰富的内容部分，请您详细查阅参考文献等资料。

依据《信息系统安全等级保护实施指南》的指导思想,确立了以下基本原则:

自主防护机制：各信息系统运营主体、使用单位及其所属主管部门依据国家相关法律法规标准，在充分评估风险的前提下，根据实际情况自主设定信息系统的防护级别，并独立负责本系统及相关业务的安全防护工作。

核心安全策略：基于各信息系统的重要性特征以及业务性质，在资源分配上，则应优先配置针对核心业务系统和关键信息资产系统的安全防护措施；同时，在信息化建设中建立分级安全防护体系的信息化系统，并赋予不同防护级别的安全守护能力。

遵循同步建设原则：在新旧项目中进行信息系统规划时应同步制定信息安全方案，并合理配置资金资源用于建设信息安全设施；确保其信息安全体系与信息系统的功能需求相匹配。

动态调整原则旨在系统性地追踪信息系统的变化状况，并相应地优化安全防护措施。这种策略的实施受到多种因素的影响包括但不仅限于信息系统应用类型、使用范围以及技术架构的演进等多方面因素的综合考量。

当发生信息安全风险时，则应依据《网络安全法》等相关法律法规及技术规范的规定，在风险评估基础上动态调整网络系统防护措施，并相应地进行网络系统防护方案的优化配置

资料来源：信息安全等级保护 百度官方百科

国家信息等级保护三级认证被称为等保三级，并被视为中国最具权威性的信息安全产品安全等级认证体系。该体系由公安机关依据国家信息安全保护条例等相关规定，在特定管理制度和技术标准指导下实施对各类机构信息系统安全级别的认可与评定工作。根据评定结果可划分为一级至五级的不同测评等级。其中等保三级认证主要面向非银行机构，并属于"监管级别"范畴需要由国家信息安全监管部门进行监督管理与日常检查工作。其认证与测评内容涵盖五个等级保护安全技术要求以及五个安全管理要求共计涉及近300项具体要求并划分73类测评类别具有十分严格的审核标准

企业必须具备完成或获得三级等保的各项要求

等保测评对技术要求有较高标准，涵盖以下几个方面：首先是以物理安全作为首要考量因素；其次则是网络安全；接着是主机安全；随后是应用安全；此外还有数据安全以及备份恢复。

在安全管理方面包含有完整的管理体系包含有安全管理制度体系安全管理部门以及相应的人员安全防护措施同时涉及到了系统的运行保障体系和运维保障体系

在平台机房中除了基本的安全控制外，还应具备耐火性、防水性以及抗干扰保护等特性，并且在发生灾害后的恢复过程中也需具备相应的保障措施。

等级保护办理流程包括但不限于以下内容：该流程涵盖从初步申请到最终确认的完整步骤，并确保各项要求得到充分满足。

组织在上级主管部门的指导下结合行业背景和经营状况，并依据相关法律政策编写定级报告并完成备案工作

企业需对定级材料进行呈送至公安机关完成备案流程中的审核环节；

企业根据国家相关标准制定方案，并推进相应的设备采购和调试工作以及实施策略配置；优化各项管理制度等。

请第三方安全测评机构对本系统进行专业性、全面的技术安全审查，在通过专业评测达到预期要求的基础上获取相应的安全评测认可文件，并最终系统可成功申领网络安全等级保护证书（三级）。

按照 ISO 27001 2.0 标准来实施安全措施

在定级方面，《条例》不再遵循《管理办法》中的"自主定级、自主保护"原则，并采用了国家行政机关持续监督的"明确等级、增强保护、常态监督"的方式进行管理。特别指出的是，在现有体系之外，《条例》进一步规定了关键信息基础设施的定级原则不得低于三级的规定。

该工作的整体流程见下文图示

在备案环节中,原先的30天内变为缩减至10个工作日,并详细划分了定级流程为:首先确定定级对象,其次进行初步等级判定,随后由专家团队开展评审工作,接着由主管部门进行审核把关,最后由公安机关完成备案审查手续。这种改革举措不仅提升了效率,更为重要的是弥补了1.0时代缺乏严格规范的问题

列出对比清单：

该体系中的最低层次标准

1主要部分：相关技术标准

从物理上进行防护措施以确保人员和财产的安全

1.1.1 物理布局的决定因素（G3）

本项要求涵盖：具体要求涵盖...

机房和办公场地建议设置在具备抗振、抗风及防水等特点的建筑中；

机房场地应不应设置于建筑物的高楼层和地下空间之外？此外，请避免将其设置在与用水设备相邻的区域。

实体层面的物理层面的访问权限管理方案（如G3级安全控制措施）

此项目涵盖的各项标准。

机房出入口应由专人负责查验所有 guest 和员工 进入情况，并进行识别与登记管理。

访问人员需完成申请审批流程，并实施活动范围限制。

负责对机房划分为若干区域实施管理措施，并在各区域之间配置物理隔离装置；在重点区域内设立交付区和安装区作为过渡阶段的专用空间。

对于重要区域而言，在部署电子门禁系统的同时,需实施人员管理、身份识别以及行为追踪。

1.1.3 防盗与抗干扰（G3）

本次要求涵盖：

应当将核心设备安置于机房中

为了确保设备或主要部件能够被固定好，并且在这些位置上设置出难以去除的标记符号。

c) 建议将通信线缆铺设在隐蔽处；通信线缆可以在地下或管道中进行铺设。

遵循介质分类标识的规定,将其存入指定区域或档案室的特定场所。

e) 可采取光电等技术安装机房防盗报警系统；

配置机房监控与报警功能系统

1.1.4 防雷电保护系统（G3）

此项目规定：

机房建筑必须安装避雷装置。

必要性在于安装防雷装置以避免感应雷的影响；

机房应设为交流电源接地线

1.1.5 防火功能（G3版本）

这项要求涵盖：...

建议在机房部署火灾自动消防系统以实现实时监控火情的能力，并能触发警报装置以及启动灭火设备。

机房及相关工作区域必须使用符合耐火标准的建筑材料

机房区域需实施防火隔离措施以保障关键系统安全，并避免与其非关键系统发生物理接触

G3级的防水与防潮性能

本项涵盖的内容非常丰富，请您详细查看各项要求

在进行水管安装作业时，在机房内部应当避免让管道穿透机房的屋顶结构以及可能移动的活动地板区域。

为防止雨水渗透到机房窗户、屋顶及墙壁部位而采取有效的防范措施

需采取相应措施以避免机房内水分凝结以及避免水分迁移和渗漏

d) 应安装用水检测的设备，在机房实施全面的防水测试，并发出警报信号。

1.1.7 静电防护措施（G3）

本次具体要求涵盖：

主要设备必须采取接地保护措施以确保防静电效果

防静电地板必须被采用在机房中

实现对级保护建设达到三级等级目标时，请依据国家GB/T 22239-2008《信息安全等级保护基本要求》及其实施指南和测评标准等相关规范文件进行。具体而言：

1. 对承建方的基本要求：所有承建方必须获得《计算机信息系统企业集成资质证书》，这是基于等级保护建设属于计算机信息系统集成工程性质这一前提而设定的专业性需求。

2. 对测评机构的要求：所有参与测评工作的机构必须取得公安部认可的信息安全级别评估机构资质认定书，并且所有参与评估的专业人员都应持有该机构颁发的相关专业资格证书。

3. 对安全产品的要求：仅限于具有公安部颁发的信息安全专用产品销售许可证的企业生产的产品，并且其操作系统的防护级别必须与所涉防护等级相匹配；此外还须采用自主研发的安全操作系统以确保系统安全性不受普通操作系统的潜在威胁影响。

4. 对制造厂商的要求：尽管没有强制性明确要求，但从保障整体评测顺利通过的角度出发，在选择供应商时应优先考虑国内主流品牌企业，并且能够提供完整的产品线（同一品牌下）以及相关技术和服务支持；特别重要的是要持有以下几项权威认证：

   a. 获得《计算机信息系统企业集成资质证书》，因为集成商本身不具备独立完成系统集成的能力；

   b. 获得《涉及国家秘密的信息系统集成资质证书（甲级）》，因为系统在运行过程中可能涉及业主单位的秘密信息或数据；

   c. 获得《信息安全服务资质证书（安全工程类二级）》，因为项目不仅包含系统建设和维护还包括相关的应急响应和培训等内容；

   d. 成员资格：成为微软MAPP组织或CSA云安全联盟成员（注：微软MAPP全称：Microsoft Active Protections Program； CSA云安全联盟全称：Cloud Security Alliance）。这两者均为国际权威的安全漏洞发布机构和解决方案提供商，在全球第一时间提供最新漏洞信息并协助补丁方案的应用。”