等保相关文件名录

新版等级保护分级保护.pdf等级保护/分级保护目录1等级保护FAQ (3)1.1什么是等级保护、有什么用？ (3)1.2信息安全等级保护制度的意义与作用？ (3)1.3等级保护与分级保护各分为几个等级，对应关系是什么？ (3)1.4等级保护的重要信息系统（8+2）有哪些？ (4)1.5等级保护的主管部门是谁？ (4)1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么？(4)1.7等级保护的政策依据是哪个文件？ (4)1.8公安机关对等级保护的管理模式是什么，等级保护定级到哪里备案？ (5)1.9等级保护是否是强制性的，可以不做吗？ (5)1.10等级保护的主要标准有哪些，是否已发布为正式的国家标准？(5)1.11哪些单位可以做等级保护的测评？ (6)1.12做了等级测评之后，是否会给发合格证书？ (6)1.13是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内？ (6)1.14等级保护检查的责任单位是谁？ (7)2分级保护FAQ (7)2.1分级保护是什么？ (7)2.2分级保护的主管部门是谁？ (7)2.3分级保护定级到哪里备案？ (7)2.4分级保护的政策依据是哪个文件？ (7)2.5分级保护与等级保护的适用对象分别是什么？ (7)2.6分级保护有关信息安全的标准相互关系是什么？ (8)2.7分级保护与等级保护的定级依据有何区别？ (8)2.8分级保护的建设依据、方案设计、测评分别依据哪些标准？ (8)2.9分级保护设计方案是否需要经过评审和审批，谁来评审和审批？(8)2.10涉密信息系统投入使用前，是否需要经过审批，由谁来审批？(8)2.11分级保护系统测评的作用是什么，是否必须做？ (9)2.12哪些单位可以做分级保护的测评，有什么资质要求？ (9)2.13分级保护对涉密系统中使用的安全保密产品有哪些要求？ (9)2.14涉密系统分级保护多长时间需进行一次安全保密检查？ (9)2.15各级保密局与各单位保密办的关系是什么？ (10)2.16分级保护的系统集成对厂商的资质有什么要求？ (10)2.17分级保护的安全建设是否必须监理，对监理资质有什么要求？(10)2.18分级保护的哪些具体工作对厂商有单项资质的要求？ (10)3综合问题 (11)3.1等保与分保的本质区别是什么？ (11)3.2等保与分保各有几种级别？ (11)3.3等级保护/分级保护什么区别哪些部门在管理，怎么做？ (11)3.4企业出现泄密事件上报那些单位？ (11)3.5等保定级备案是依据单位还是系统？ (12)3.6风险评估和等级保护的关系？ (12)3.7方案设计阶段及实施前是否需要报批？ (12)3.8对于等保中产品使用及密码产品是否有要求？ (12)等级保护/分级保护FAQ1等级保护FAQ1.1什么是等级保护、有什么用？【解释】是我国实施信息安全管理的一项法定制度，1994年147号令、2003年27号文件、2004年66号文件都有明确规定，信息系统安全实施等级化保护和等级化管理。

2019年5月10日，国家市场监督管理总局、中国国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》，标志着等级保护步入新的阶段——等级保护标准2.0时代。

等保2.0的正式落地，既是形势所迫、国情所需，也是顺应《网络安全法》、《网络安全等级保护条例》等法律法规要求。

网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策，作为我国非涉密领域的网络安全基本防护框架，在应对新形势、满足新要求、针对新风险、扩大新内容方面，从政策、标准体系层面都迈入2.0时代。

等保2.0将释放国内网络安全市场巨大需求空间，极大促进我国网络安全相关产业发展。

那么，等保2.0建设新要求是什么，新思路有哪些？网御星云等保2.0全方位专业解读请往下看。

等保1.0升级等保2.017-3402-1635-4445-64手册概览SHOUCEGAILAN为什么需要等级保护01网络安全等级保护是当今发达国家保护关键信息基础设施、保障网络安全的通行做法，也是我国多年来网络安全工作经验的总结。

通过开展网络安全等级保护工作，有限的财力、物力、人力投入到国家关键信息基础设施安全保护中，可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统、大数据等的安全。

等保2.0的适时推出，体现国家积极应对新技术引发的新风险，变被动防御为主动保障，解决我国网络安全面临的威胁和存在的主要问题。

等保2.0新标准已于2019年5月10日正式发布，包括三大标准：GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》，标志着等保2.0标准正式落地。

建立和落实网络安全等级保护制度是形势所迫、国情所需。

随着我国信息化进程的全面加快，全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高，基础信息网络和重要信息系统的安全性直接关系到国家安全、公共安全、社会公众利益。

信息系统安全等级保护相关标准列表信息系统安全等级保护相关标准列表标准类型子类型标准名称基础类标准计算机信息系统安全保护等级划分准则(GB17859-1999)应用类标准信息系统定级信息系统安全保护等级定级指南(GB/T22240-2008)等级保护实施信息系统安全等级保护实施指南(信安字[2007]10) 信息系统安全建设信息系统安全等级保护基本要求(GB/T22239-2008)信息系统通用安全技术要求(GB/T20271-2006)信息系统等级保护安全设计技术要求(GB/T24856-2009)信息系统安全管理要求(GB/T20269-2006)信息系统安全工程管理要求(GB/T20282-2006)信息系统物理安全技术要求(GB/T21052-2007)网络基础安全技术要求(GB/T20270-2006)信息系统安全等级保护体系框架(GA/T708-2007)信息系统安全等级保护基本模型(GA/T709-2007)信息系统安全等级保护基本配置(GA/T710-2007)等级测评信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T713-2007)产品类标准操作系统操作系统安全技术要求(GB/T20272-2006) 操作系统安全评估准则(GB/T20008-2005)数据库数据库管理系统安全技术要求(GB/T20273-2006)数据库管理系统安全评估准则(GB/T20009-2005)网络网络端设备隔离部件技术要求(GB/T20279-2006)网络端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品技术要求(GB/T20278-2006)网络脆弱性扫描产品测试评价方法(GB/T20280-2006)网络交换机安全技术要求(GA/T684-2007)虚拟专用网安全技术要求(GA/T686-2007)PKI 公钥基础设施安全技术要求(GA/T687-2007)PKI系统安全等级保护技术要求(GB/T21053-2007)网关网关安全技术要求(GA/T681-2007)服务器服务器安全技术要求(GB/T21028-2007)入侵检测入侵检测系统技术要求和检测方法(GB/T20275-2006) 计算机网络入侵分级要求(GA/T700-2007)防火墙防火墙安全技术要求(GA/T683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T20281-2006)包过滤防火墙评估准则(GB/T20010-2005)路由器路由器安全技术要求(GB/T18018-2007)路由器安全评估准则(GB/T20011-2005)路由器安全测评要求(GA/T682-2007)交换机网络交换机安全技术要求(GB/T21050-2007)交换机安全测评要求(GA/T685-2007)其他产品终端计算机系统安全等级技术要求(GA/T671-2006) 终端计算机系统测评方法(GA/T671-2006)审计产品技术要求和测评方法(GB/T20945-2006)虹膜特征识别技术要求(GB/T20979-2007)虚拟专网安全技术要求(GA/T686-2007)应用软件系统安全等级保护通用技术指南(GA/T711-2007)应用软件系统安全等级保护通用测试指南(GA/T712-2007)网络和终端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品测评方法(GB/T20280-2006)其他类标准风险评估信息安全风险评估规范(GB/T20984-2007) 事件管理信息安全事件管理指南(GB/Z20985-2007)信息安全事件分类分级指南(GB/Z20986-2007) 信息系统灾难恢复规范(GB/T20988-2007)。

信息化管理制度附则第一条本办法未尽事宜按国家有关法律、法规和相关规定执行。

第二条本办法由XX信息科负责修订、解释。

第三条本办法自颁布之日起发布执行。

记录表单1. 《门卡申请表》2．《机房访问申请表》3．《中心机房出入登记表》4．《信息设备验收单》5．《信息设备申领单》6．《信息设备报废申请单》7．《设备维修登记表》8．《变更申请表》9．《机房值班记录表》10．《设备故障登记表》11．《日巡检记录表（机房环境）》12．《机房日巡检记录表（信息安全）》13．《日巡检记录表（供配电系统）》14．《日巡检记录表（网络系统）》15．《日巡检记录表（服务器系统）》16．《日巡检记录表（应用系统）》17．《周巡检记录表（机房环境）》18．《周巡检记录表（供配电系统）》19．《周巡检记录表（信息安全）》20．《周巡检记录表（服务器系统）》21．《周巡检记录表（网络系统）》22．《周巡检记录表（应用系统）》23．《月巡检记录表（机房环境）》24．《月巡检记录表（供配电）》25．《月巡检记录表（信息安全）》26．《月巡检记录表（小型机）》27．《月巡检记录表（核心网络设备）》28．《月巡检记录表（PC服务器）》29.《信息资产清单》30.《系统异常事件处理记录》31.《应急处理审批表》附件1：门卡申请表附件2：机房访问申请表附件3：中心机房出入登记表附件4：信息设备验收单附件5：信息设备申领单附件6：信息设备报废申请单注：本表一式三份，分别由信息科、财务科、申请报废部门各一份。

附件7：设备维修登记表变更申请表机房值班记录表年月日设备故障登记表记录人：负责人：附件11：日巡检记录表（机房环境）附件12：机房日巡检记录表（信息安全）附件13：日巡检记录表（供配电系统）第16页附件14：日巡检记录表（网络系统）第17页第18页附件15：日巡检记录表（服务器系统）第19页附件16：日巡检记录表（应用系统）第20页附件17：周巡检记录表（机房环境）附件18：周巡检记录表（供配电系统）附件19：周巡检记录表（信息安全）附件20：周巡检记录表（服务器系统）附件21：周巡检记录表（网络系统）第25页附件22：周巡检记录表（应用系统）第26页附件23：月巡检记录表（机房环境）第27页附件24：月巡检记录表（供配电）第28页附件25：月巡检记录表（信息安全）第29页附件26：月巡检记录表（小型机）巡检日期：第30页巡检人（签字）字）：附件27：月巡检记录表（核心网络设备）时间：巡检人：人：附件28：月巡检记录表（PC服务器）巡检期：巡检人（签字）：负责人（签字）：附件：29信息资产清单填表说明：1.“资产统一命名”指：按照本单位命名规则对资产统一命名和标识。

公安部43号文等级保护第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

03-三级等保需要的文档三级等保需要的文档物理安全层面1、机房进出登记表（记录人员进出机房的情况，包含姓名、身份证号、进出的日期时间、携带的设备、事由、陪同人员等）2、机房进出申请审批表（带有申请审批记录的机房出入授权表）3、机房安全验收报告（针对自建机房）/机房环境租用协议（针对服务器托管在第三方机房）4、机房环境巡检记录网络安全层面5、网络拓扑图（绘制与当前运行情况相符的网络拓扑结构图）应用安全层面6、应用系统的详细设计说明书7、应用系统操作说明书8、应用系统的安全验收报告安全管理制度层面9、信息安全总体方针和安全策略文档（说明机构安全工作的总体目标、范围、原则和安全框架等）10、信息系统重要操作规范（比如：备份安全操作规范、系统变更操作规范、系统升级操作规范、数据迁移操作规范等）安全管理机构层面11、安全管理职能部门的岗位职责、分工和技能要求（描述与信息安全管理相关的各岗位职责、分工和胜任这份工作的所要求的具备的技能）12、授权管理清单（根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等）13、对被测系统相关重要事项建立审批程序，并符合逐级审批要求（对系统变更、重要操作、物理访问和系统接入等事项建立审批程序）14、重要事项申请审批表15、外联单位联系列表（包括外联单位名称、合作内容、联系人和联系方式等信息）16、安全检查表（检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等）17、安全审核和安全检查制度（比如规定检查周期、检查责任、检查对象、检查内容、检查后问题处置等）人员安全管理层面18、人员录用过程管理规范（描述人员录用流程、考查资格/资质、背景调查以及技能考核等要求） 19、信息安全保密协议（与全体人员签订保密协议） 20、岗位安全协议（与重要岗位人员签订岗位安全协议）21、人员离职离岗管理规范（规范离职/离岗流程、注销相关系统账户、取回公司物品、离职后的保密要求等）22、信息安全考核计划/考核表/考核记录（针对各岗位的人员进行的信息安全考核）23、信息安全教育培训计划/培训课件/培训记录（对各岗位进行的信息安全意识、安全技能方面的培训、定期培训计划、培训记录等）24、安全惩戒措施规范25、外部人员访问安全管理规范（描述允许外部人员访问的区域/对象、访问接待规范、访问过程管理规范等）系统建设管理层面26、系统定级报告27、系统安全建设总体规划方案（描述近期和远期的安全建设工作计划）28、信息安全设计方案（包括安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案）29、信息安全设计方案的论证审批记录（通过单位领导、专家的论证证明信息安全设计方案的合理性、科学性、可行性等）30、目前所使用的信息安全产品的安全资质证书（如销售许可证、产品型号证书、3C 认证证书等） 31、目前所使用的密码产品的安全资质证书（如商用密码销售许可证等）32、软件开发安全管理制度（明确说明开发过程的控制方法和人员行为准则） 33、代码编写安全规范（要求开发人员参照规范编写代码）34、程序资源库访问授权审批表（证明对程序资源库的修改、更新、发布进行授权和批准） 35、外包软件开发安全承诺书或安全测试报告36、信息系统集成工程实施方案37、信息系统工程实施方面的管理制度38、信息系统测试验收过程管理规定（对系统测试验收的控制方法和人员行为准则进行书面规定） 39、信息系统测试验收方案和测试验收报告（要有相关部门的盖章确认）40、项目验收交付清单41、信息系统建设过程中的文档和指导用户进行系统运行维护的文档（类似于4、5、6，但范围大于应用软件）42、信息系统交付过程管理规定（对系统交付的控制方法和人员行为准则进行书面规定） 43、系统备案证明44、与安全服务商的合作协议（判定选择的安全服务商是否符合国家要求，且是否进行安全责任的约束）系统运维管理层面45、机房安全管理制度（对有关机房物理访问，物品带进、带出机房和机房环境安全等方面作出规定）46、办公环境管理规定（规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等）47、信息系统相关资产清单（包括资产责任部门、重要程度和所处位置等内容）48、信息系统资产安全管理制度（规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为）49、信息分类与标识规范（规定信息分类与标识的原则和方法，并对信息的使用、存储和传输等进行规范化管理。

网络安全等级保护2.0介绍网络安全建设需求分析政策驱动：ü《网络安全法》——第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护；违者将面临暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚，最高处罚金额可达人民币100万元。

ü 2019年5月13日网络安全等级保护技术2.0版本正式公开发布，2019年12月底正式实施。

《等保2.0》的正式出台，减少了等保二、三级控制项，进一步完善优化等保建设标准体系；业务现状：ü各行各业都面临着勒索病毒、挖矿病毒泛滥的问题，医疗行业更是重灾区，有29%勒索软件的攻击目标是各类医疗相关机构，数据重要性强，his、pcas、LIS等重要数据，命中勒索病毒后，付费赎买几率较大；ü医疗行业也是黑客攻击主要目标，公民基础身份信息附加价值大，电信诈骗等黑产，对病患医疗信息重视，可以花比较大的价钱购买，刺激数据盗窃行为；ü安全问题处理效率低下，业务系统出现问题不能及时定位，事故处理效率低，影响正常业务进展，甚至造成医疗事故；核心诉求：Ø符合《网络安全法》和《等保2.0》相关法律标准要求Ø有效抵御外界安全攻击，避免医院和病患经济损失Ø提升业务系统安全问题处理效率，保障医院正常业务不中断等保2.0基本要求结构信息系统物理安全技术要求变化管理要求变化基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保1.0等保2.0试行稿等保2.0最新稿一个中心三重防御围绕“一个中心三重防护”的等保方案设计防病毒防病毒防病毒防病毒互联网出口区NGFW电信出口路由器移动联通APT检测行为管理核心交换机运维审计身份认证流量探针大数据安全IT运维漏洞扫描VPNNGFW业务系统1业务系统2业务系统3WG入侵防御业务系统4动态防御NGFWNGFW动态防御动态防御防篡改防篡改防篡改防篡改数据库审计安全服务防病毒防病毒防病毒防病毒安全等保2.0典型拓扑大数据安全(流量+日志)IT运维管理堡垒机漏洞扫描下一代防火墙VPN 路由器交换机下一代防火墙(防病毒+垃圾邮件)入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量探针WEB应用防护入侵检测/防御数据库审计网页防篡改漏洞风险评估(渗透+漏扫服务)动态防御系统杀毒软件等保建设咨询服务•对安全进行统一管理与把控•集中分析与审计•定期识别漏洞与隐患•构建安全的网络通信架构•保障信息传输安全•强化安全边界防护及入侵防护•优化访问控制策略•强调系统及应用安全•加强身份鉴别机制与入侵防范双因素认证等保2.0配置推荐表序号等保所需产品与服务必备/可选(等保二级)必备/可选(等保三级)1防火墙必备必备2入侵防御【IPS】必备必备3日志审计【BDS】必备必备4渗透测试服务可选可选5漏洞扫描服务必备必备6堡垒机【OAS】必备必备7上网行为管理【UAC】必备必备8WAF应用防火墙可选必备9终端准入系统可选必备10双因素认证可选可选11数据库审计【DBS】可选必备12等级保护建设咨询可选可选13安全事件处置服务可选可选14网站防篡改可选必备15机房运维管理软件可选可选16新型攻击防御可选可选17网络版杀毒软件必备必备18数据存储备份必备必备序号等保产品名称功能作用1防火墙网络安全的第一道防线，用于监控和控制进出网络的数据包，根据预设的安全规则允许或阻止网络流量。

闲话等级保护：等保1.0里程碑规范文件43号文（下）今天我们继续讨论1994-2017等级保护政策及法律发展历程的2007年的政策文件，我们知道2007年的《信息安全等级保护管理办法》(公通字[2006]43号)（以下简称“43号文”）由公安部、国家保密局、国家密码管理局等四部门联合出台，该文件详细阐述了公安机关的具体工作任务。

43号文明确了等级保护的“定级、备案、建设、测评、检查”五个规定动作。

上次，我们介绍到备案过程中，需要提交七个附件。

接下来我们继续沿着上次说的往下走。

在43号文中说到，信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

以及运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

接下来，是公安机关对第三级、第四级信息系统进行检查的规定和内容。

及信息系统运营、使用单位接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供哪些信息资料及数据文件等。

后面，又介绍了公安机关监督运营、使用单位整改等以及对第三级以上信息系统选用安全产品的要求，及选择什么样的测评机构进行测评等。

在43号文中，也明确了测评机构应当履行的义务，如遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实等。

43号文对于非涉密系统的测评，到该文件的第43号文第二十三条，到第四章就开始介绍涉及涉及国家秘密信息系统的分级保护管理的内容，即是我们常说的“分级保护”。

XXX三级医院等级保护建设整改规划方案西安交大捷普网络科技有限公司2013年5月目录第1章综述 (4)1.1项目背景 (4)1.2项目目标 (5)1.3参考依据 (5)第2章信息系统现状和安全需求 (7)2.1信息系统现状 (7)2.1.1医院业务内网现状 (7)2.1.2医院办公外网现状 (9)2.2安全需求分析 (9)2.2.1医院业务内网安全分析 (9)2.2.2医院办公外网安全分析 (10)2.2.3医院业务内网和办公外网数据交换分析 (11)第3章总体安全规划设计 (12)3.1总体设计思路 (12)3.2设计原则 (13)3.3体系化设计框架 (13)3.4体系规划 (14)3.4.1技术体系规划 (15)3.4.2管理体系规划 (15)3.4.3运维体系规划 (16)第4章信息安全体系详细设计 (17)4.1安全技术体系建设 (18)4.1.1总体安全规划设计拓扑示意图 (18)4.1.2网闸技术实施 (20)4.1.3VPN技术实施 (23)4.1.4入侵检测技术/入侵防护实施 (25)4.1.5WEB应用防火墙技术实施 (26)4.1.6漏洞扫描实施 (27)4.1.7网络及数据库安全审计技术实施 (28)4.1.8堡垒主机实施 (30)4.1.9防病毒技术实施 (31)4.1.10终端安全管理技术实施 (32)4.1.11统一身份管理建设 (33)4.1.12安全管理平台 (37)4.2安全管理体系建设 (39)4.2.1安全管理体系建设必要性 (39)4.2.2安全管理体系框架 (40)4.2.3安全管理体系建设内容 (41)4.2.4结合等保的安全管理体系文档 (44)4.3安全运维体系建设 (47)4.3.1周期性安全评估 (47)4.3.2周期性安全加固 (48)4.3.3定期安全巡检 (50)4.3.4应急响应方案处置 (51)4.3.5定期安全通告 (53)4.3.6安全培训教育 (54)4.3.7系统上线检测 (54)第5章投资概算说明 (56)5.1软硬件产品预算 (56)5.2安全服务预算 (56)第1章综述1.1项目背景随着医疗卫生行业信息化建设程度不断推进，医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升，信息安全隐患的不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。

等保2.0 重点汇总1整体测评结果分析从安全控制点间、区域间/层面间和验证测试等方面对单项测评的结果进行验证、分析和整体评价。

根据整体测评结果，对安全问题汇总表中的安全问题进行修正，风险等级为“高”、“中”、“低”，修正后的问题风险程度，等级测评结论由综合得分和最终结论构成。

1.GB17859-1999《计算机信息系统安全保护等级划分准则》是网络安全领域唯一强制的标准，也是网络安全等级保护标准体系的中的基础标准。

2.GB17859-1999《计算机信息系统安全保护等级划分准则》将计算机信息系统的安全保护能力由低到高划分五个等级，分别第一级-用户自主保护级、第二级-系统审计保护级、第三级-安全标记保护级、第四级-结构化保护级、第五级-访问验证保护级。

3.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求，适用于知道分等级的非涉密对象的安全建设和监督管理。

保护数据在存储、传输、处理过程中不被泄露、破坏和免受未侵权的修改的信息安全类要求（简记为S）保护系统连续正常的运行，免受对系统的未侵权的修改、破坏而导致系统不可用的服务保证类要求（简记为A）测评单元编码规则为三组数据，第一组：L1-5级别，第二组：PES为安全物理环境、CNS为安全通信网络、ABS为安全区域边界、CES安全计算环境、SMC为安全管理中心、PSS为安全管理制度、ORS为安全管理制度HRS为安全管理人员CMS为安全建设管理MMS为安全运维管理BDS代表大数据数字代表应用场景，1安全通用，2，云计算，3移动互联 4物联网 5 为工业控制系统数据安全与备份恢复:主要测评对象包括加密机、VPN设备、备份软/硬件系统以及灾备中心等。

测评力度在广度方面主要体现为测评对象的类型和数量风险的规避：1.签署委托测评协议，2.签署保密协议，3.签署现场测评授权书4.现场测评工作的风险规避，渗透需要测试环境5.测评现场还原6.规范化实施过程，7.沟通与交流题集：1.给一个网络拓扑图，结合2.0指出有哪些不足，给出整改方案2.工具测试流程：1.收集目标系统信息2.规划工具测试接入点3.编制《工具测试作业指导书》4.现场测试5.测试结果整理分析2.工具测试接入点：1.由低级别系统向高级别系统探测，2.同一系统同等重要程度功能区域之间要相互探测3.由较低重要程度区域向较高重要程度区域探测4.由外联接口向系统内部探测5.跨网络隔离设备要分段探测。