等保三級(jí)安全的檢查和審核是怎樣的？需要準(zhǔn)備哪些資料和證明？

等保三級(jí)安全，即等級(jí)保護(hù)三級(jí)安全，是指在信息系統(tǒng)安全等級(jí)保護(hù)制度中，針對(duì)重要程度較高、安全性要求較高的信息系統(tǒng)所采取的安全防護(hù)措施。等保三級(jí)安全的目標(biāo)是防止非法用戶對(duì)信息系統(tǒng)造成破壞、竊取、篡改或泄露，保障信息系統(tǒng)的可用性、完整性、機(jī)密性和可審計(jì)性。

根據(jù)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)安全等級(jí)劃分指南》，等保三級(jí)安全適用于以下類型的信息系統(tǒng)：

公共及商用服務(wù)信息系統(tǒng)中，涉及國(guó)家秘密或者國(guó)家重要利益的信息系統(tǒng)；

公共及商用服務(wù)信息系統(tǒng)中，涉及公民個(gè)人隱私或者公民個(gè)人重要利益的信息系統(tǒng)；

公共及商用服務(wù)信息系統(tǒng)中，涉及社會(huì)公共利益或者社會(huì)公共秩序的信息系統(tǒng)；

其他需要采取較高安全防護(hù)措施的公共及商用服務(wù)信息系統(tǒng)。

那么，等保三級(jí)安全的檢查和審核是怎樣的呢？需要準(zhǔn)備哪些資料和證明呢？本文將從以下幾個(gè)方面為您介紹：

等保三級(jí)安全的檢查流程

等保三級(jí)安全的檢查流程主要包括以下幾個(gè)步驟：

自查：信息系統(tǒng)單位應(yīng)根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)安全等級(jí)劃分指南》，對(duì)自身的信息系統(tǒng)進(jìn)行自查，評(píng)估其是否符合等保三級(jí)安全的要求，并制定相應(yīng)的改進(jìn)措施。

整改：信息系統(tǒng)單位應(yīng)根據(jù)自查結(jié)果，對(duì)不符合等保三級(jí)安全要求的部分進(jìn)行整改，提升其安全水平，并記錄整改過(guò)程和結(jié)果。

申請(qǐng)：信息系統(tǒng)單位應(yīng)向有資質(zhì)的第三方檢測(cè)機(jī)構(gòu)申請(qǐng)進(jìn)行等保三級(jí)安全檢測(cè)，并提供相關(guān)資料和證明。

檢測(cè)：第三方檢測(cè)機(jī)構(gòu)應(yīng)根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)檢測(cè)評(píng)價(jià)規(guī)范》，對(duì)申請(qǐng)單位的信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程檢測(cè)，并出具檢測(cè)報(bào)告。

復(fù)核：第三方檢測(cè)機(jī)構(gòu)應(yīng)將檢測(cè)報(bào)告提交給有資質(zhì)的第三方評(píng)估機(jī)構(gòu)進(jìn)行復(fù)核，并根據(jù)復(fù)核意見(jiàn)進(jìn)行修改或補(bǔ)充。

評(píng)估：第三方評(píng)估機(jī)構(gòu)應(yīng)根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)檢測(cè)評(píng)價(jià)規(guī)范》，對(duì)檢測(cè)報(bào)告進(jìn)行評(píng)估，并出具評(píng)估報(bào)告。

備案：信息系統(tǒng)單位應(yīng)將評(píng)估報(bào)告提交給主管部門進(jìn)行備案，并按照主管部門的要求進(jìn)行后續(xù)管理和維護(hù)。

等保三級(jí)安全的審核流程

等保三級(jí)安全的審核流程主要包括以下幾個(gè)步驟：

申請(qǐng)：信息系統(tǒng)單位應(yīng)向主管部門申請(qǐng)進(jìn)行等保三級(jí)安全審核，并提供相關(guān)資料和證明。

審核：主管部門應(yīng)根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)審核規(guī)范》，對(duì)申請(qǐng)單位的信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程審核，并出具審核報(bào)告。

認(rèn)定：主管部門應(yīng)根據(jù)審核報(bào)告，對(duì)申請(qǐng)單位的信息系統(tǒng)進(jìn)行等保三級(jí)安全認(rèn)定，并頒發(fā)認(rèn)定證書。

監(jiān)督：主管部門應(yīng)對(duì)認(rèn)定的信息系統(tǒng)進(jìn)行定期或不定期的監(jiān)督檢查，并要求其及時(shí)報(bào)告任何影響安全等級(jí)的變化或事件。

等保三級(jí)安全的檢查內(nèi)容

等保三級(jí)安全的檢查內(nèi)容主要包括以下幾個(gè)方面：

組織管理：檢查信息系統(tǒng)單位是否建立了完善的安全管理組織和制度，是否制定了符合等保三級(jí)安全要求的安全策略和規(guī)范，是否實(shí)施了有效的安全教育和培訓(xùn)，是否建立了健全的安全審計(jì)和監(jiān)督機(jī)制，是否制定了應(yīng)急預(yù)案和處置措施，是否落實(shí)了安全責(zé)任和考核制度，等等。

物理環(huán)境：檢查信息系統(tǒng)單位是否采取了合理的物理防護(hù)措施，如門禁、防火、防水、防雷、防靜電、防塵、防震、防竊聽(tīng)、防破壞等，是否對(duì)重要設(shè)備和介質(zhì)進(jìn)行了標(biāo)識(shí)和登記，是否對(duì)重要區(qū)域和場(chǎng)所進(jìn)行了劃分和限制，是否對(duì)重要物資進(jìn)行了存儲(chǔ)和銷毀，等等。

網(wǎng)絡(luò)通信：檢查信息系統(tǒng)單位是否采取了有效的網(wǎng)絡(luò)防護(hù)措施，如防火墻、入侵檢測(cè)、入侵防御、隔離器、加密器、認(rèn)證器、數(shù)字證書、VPN、代理服務(wù)器、網(wǎng)關(guān)等，是否對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行了合理設(shè)計(jì)，是否對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行了配置管理，是否對(duì)網(wǎng)絡(luò)流量進(jìn)行了監(jiān)控和分析，是否對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行了加密和完整性校驗(yàn)，等等。

系統(tǒng)平臺(tái)：檢查信息系統(tǒng)單位是否采取了有效的系統(tǒng)防護(hù)措施，如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、應(yīng)用服務(wù)器、Web服務(wù)器等，是否對(duì)系統(tǒng)軟件進(jìn)行了版本管理，是否對(duì)系統(tǒng)漏洞進(jìn)行了及時(shí)修復(fù)，是否對(duì)系統(tǒng)日志進(jìn)行了記錄和保存，是否對(duì)系統(tǒng)資源進(jìn)行了分配和控制，是否對(duì)系統(tǒng)接口進(jìn)行了驗(yàn)證和過(guò)濾，等等。

應(yīng)用服務(wù)：檢查信息系統(tǒng)單位是否采取了有效的應(yīng)用防護(hù)措施，如業(yè)務(wù)邏輯、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)等，是否對(duì)應(yīng)用軟件進(jìn)行了開(kāi)發(fā)規(guī)范，是否對(duì)應(yīng)用功能進(jìn)行了測(cè)試和評(píng)估，是否對(duì)應(yīng)用數(shù)據(jù)進(jìn)行了分類和標(biāo)識(shí)，是否對(duì)應(yīng)用數(shù)據(jù)進(jìn)行了加密和脫敏，是否對(duì)應(yīng)用數(shù)據(jù)進(jìn)行了完整性和一致性校驗(yàn)，等等。

人員行為：檢查信息系統(tǒng)單位是否采取了有效的人員防護(hù)措施，如用戶管理、權(quán)限管理、身份認(rèn)證、訪問(wèn)控制、行為監(jiān)

人員行為：檢查信息系統(tǒng)單位是否采取了有效的人員防護(hù)措施，如用戶管理、權(quán)限管理、身份認(rèn)證、訪問(wèn)控制、行為監(jiān)控、行為約束、行為懲戒等，是否對(duì)用戶進(jìn)行了分級(jí)和分組，是否對(duì)用戶進(jìn)行了密碼管理和安全教育，是否對(duì)用戶進(jìn)行了操作記錄和審計(jì)追溯，是否對(duì)用戶進(jìn)行了安全提示和警告，是否對(duì)用戶進(jìn)行了違規(guī)處理和處罰，等等。

等保三級(jí)安全的審核標(biāo)準(zhǔn)

等保三級(jí)安全的審核標(biāo)準(zhǔn)主要包括以下幾個(gè)方面：

符合性：審核信息系統(tǒng)單位是否嚴(yán)格遵守了國(guó)家和行業(yè)的相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、政策指導(dǎo)等，是否符合了等保三級(jí)安全的基本要求和技術(shù)指南，是否符合了主管部門的審核要求和認(rèn)定條件，等等。

有效性：審核信息系統(tǒng)單位是否真正實(shí)施了等保三級(jí)安全的各項(xiàng)防護(hù)措施，是否能夠有效地防止或抵御各種安全威脅和攻擊，是否能夠有效地恢復(fù)或應(yīng)對(duì)各種安全事件和事故，是否能夠有效地保障信息系統(tǒng)的正常運(yùn)行和業(yè)務(wù)支撐，等等。

持續(xù)性：審核信息系統(tǒng)單位是否持續(xù)地維護(hù)和更新了等保三級(jí)安全的各項(xiàng)防護(hù)措施，是否持續(xù)地監(jiān)測(cè)和評(píng)估了信息系統(tǒng)的安全狀況和風(fēng)險(xiǎn)水平，是否持續(xù)地報(bào)告和處理了信息系統(tǒng)的安全問(wèn)題和隱患，是否持續(xù)地改進(jìn)和提升了信息系統(tǒng)的安全能力和水平，等等。

等保三級(jí)安全的檢查和審核所需資料和證明

等保三級(jí)安全的檢查和審核所需資料和證明主要包括以下幾類：

基本資料：包括信息系統(tǒng)單位的基本信息、組織結(jié)構(gòu)、業(yè)務(wù)范圍、聯(lián)系方式等，以及信息系統(tǒng)的基本信息、功能描述、架構(gòu)設(shè)計(jì)、運(yùn)行環(huán)境、使用情況等。

管理資料：包括信息系統(tǒng)單位的安全管理制度、安全策略規(guī)范、安全責(zé)任書、安全培訓(xùn)記錄、安全審計(jì)報(bào)告、應(yīng)急預(yù)案演練記錄等，以及信息系統(tǒng)的自查報(bào)告、整改報(bào)告、檢測(cè)報(bào)告、評(píng)估報(bào)告、備案證明等。

技術(shù)資料：包括信息系統(tǒng)單位的物理環(huán)境配置圖、網(wǎng)絡(luò)通信配置圖、系統(tǒng)平臺(tái)配置表、應(yīng)用服務(wù)配置表等，以及信息系統(tǒng)的物理環(huán)境檢測(cè)結(jié)果、網(wǎng)絡(luò)通信檢測(cè)結(jié)果、系統(tǒng)平臺(tái)檢測(cè)結(jié)果、應(yīng)用服務(wù)檢測(cè)結(jié)果等。

人員資料：包括信息系統(tǒng)單位的人員名單、人員分組、人員權(quán)限、人員培訓(xùn)情況等，以及信息系統(tǒng)的用戶管理規(guī)則、用戶身份認(rèn)證方式、用戶訪問(wèn)控制方式、用戶操作記錄方式等。

其他資料：包括信息系統(tǒng)單位或信息系統(tǒng)涉及到的其他相關(guān)資料或證明，如法律文件、合同協(xié)議、授權(quán)書、承諾書等。

現(xiàn)在，為了幫助企業(yè)用戶快速滿足等保合規(guī)的要求，天*下*數(shù)*據(jù)推出了等級(jí)保護(hù)測(cè)評(píng)解決方案，能為你的等保測(cè)評(píng)提供關(guān)鍵服務(wù)。 {天}{下}{數(shù)}{據(jù)}客服電話40-0-6-3 -8-88-0-8 官網(wǎng)：http://m.51huadong.com/2022/db.asp

本文鏈接：http://m.51huadong.com/cloundnews/11009277.html