三级等保流程有哪些要求?
三级等保流程的要求,主要包括物理、网络、主机、应用、数据五个方面的安全技术要
求,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方
面的安全管理要求。具体如下:
物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系
统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火、备用发电机等
。
网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合
要求,例如应进行vlan划分并各vlan逻辑隔离,应配置qos流量控制策略,应配备访问控制
策略,重要网络设备和服务器应进行ip/mac绑定等;应配备网络审计设备、入侵检测或防御
设备;交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录
访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提
供冗余性设计。
主机安全:服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审
计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器(应用和数据库
服务器)应具有冗余性,例如需要双机热备或集群部署等;服务器和重要网络设备需要在上
线前进行漏洞扫描评估,不应有中别以上的漏洞(例如windows系统漏洞、apache等中
间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);应配备专用的日志服务器保存
主机、数据库的审计日志。
应用安全:应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存
储加密等;应用处应考虑部署网页防篡改设备;应用的安全评估(包括应用安全扫描、渗透
测试及风险评估),应不存在中风险以上的漏洞(例如sql注入、跨站脚本、网站挂马
、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);应用系统产生的日志
应保存至专用的日志服务器。
数据安全:应提供数据的本地备份机制,每天备份至本地,且场外存放;如系统中存在
核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。
安全管理制度:根据《信息安全管理规范》等标准,制定符合企业或机构实际情况的安
全管理制度,包括信息安全政策、信息资产管理制度、人员安全管理制度、物理环境安全管
理制度、通信与运行管理制度、访问控制管理制度、信息系统获取开发与维护管理制度、信
息安全事故管理制度、业务持续性管理制度、合规性检查与审计管理
制度、信息安全管理责任制度等。
安全管理机构:应建立专门的信息安全管理机构,明确信息安全管理的职责、权限和流
程,配备的信息安全管理人员,定期进行信息安全培训和考核。
人员安全管理:应对涉及信息系统的人员进行身份鉴别和背景审查,签订保密协议,授
予相应的权限,定期进行权限审查和变更,实施离职交接和权限回收。
系统建设管理:应按照等保要求进行系统的需求分析、设计、开发、测试、验收等阶段
的管理,确保系统的安全性和可靠性。
系统运维管理:应按照等保要求进行系统的运行监控、维护更新、备份恢复、安全检查
、风险评估、应急处置等方面的管理,确保系统的正常运行和安全稳定。
三级等保流程有哪些步骤?
三级等保流程的步骤,主要包括以下几个:
定级:根据《信息系统安全等级划分指南》等标准,对信息系统进行安全等级划分,并
填写《信息系统定级报告》。
备案:将《信息系统定级报告》提交至主管部门或上级单位备案,并在国家网信办指定
的平台上进行在线备案。
整改:根据《信息系统安全保护基本要求》等标准,对信息系统进行自查自改,消除或
降低存在的安全风险,并填写《信息系统整改报告》。
测评:委托具有资质的第三方测评机构,对信息系统进行安全测评,并出具《信息系统
测评报告》。
检查:根据主管部门或上级单位的要求,接受或配合进行现场检查或远程检查,并提供
相关证明材料。
展开全文