江苏 GB/T 22239 信息安全等级保护申请流程及要求全解

一、信息安全等级保护概述

二、申请流程

（一）确定信息系统安全等级

1. 自主评估：组织首先需要依据信息系统的重要性、所处理信息的敏感程度以及一旦遭受破坏可能产生的危害程度等因素，参照 GB/T 22239 标准中关于不同等级的界定，对自身信息系统进行初步的安全等级评估。例如，涉及大量公民个人敏感信息且业务对社会稳定有较大影响的系统可能被确定为较高等级。
2. 专家评审（如有需要）：对于一些难以确定等级或者较为复杂的信息系统，可以邀请行业内的信息安全专家进行评审，专家将根据系统的详细情况，从技术架构、数据流向、业务流程等多方面进行综合分析，给出专业的等级建议。

（二）备案材料准备

1. 备案表填写：按照江苏当地公安机关规定的格式，填写《信息系统安全等级保护备案表》，详细准确地填写信息系统的名称、类型、承载业务、网络拓扑结构、安全责任人等基本信息。
2. 辅助材料收集整理：包括信息系统的网络拓扑图，清晰展示系统内各设备的连接关系和网络架构；系统安全管理制度文档，如人员安全管理、访问控制策略、数据备份与恢复制度等；系统安全防护设施清单，如防火墙、入侵检测系统、加密设备等的型号、配置和部署情况。

（三）提交备案申请

（四）审核与反馈

1. 材料审核：公安机关审核人员会仔细审查备案材料，检查信息系统等级确定是否合理、备案表填写是否规范、辅助材料是否齐全且真实有效等。如发现材料存在问题或不完整，会通过电话、邮件或政务平台通知申请单位补充或修正材料。
2. 现场核查（部分情况）：对于一些关键信息系统或备案材料存在疑问的情况，公安机关可能会安排工作人员进行现场核查。核查内容包括信息系统的实际运行环境、安全防护设施的部署和运行状态、安全管理制度的执行情况等。申请单位需积极配合现场核查工作，提供必要的技术支持和人员协助。

（五）备案成功与后续工作

1. 备案编号发放：若备案申请通过审核，公安机关将为信息系统颁发信息安全等级保护备案编号，这标志着该系统正式完成备案。
2. 定期测评要求：根据等级保护要求，备案成功的信息系统需定期开展等级测评工作，一般二级系统每两年至少进行一次测评，三级系统每年至少进行一次测评。测评工作需委托具有资质的测评机构进行，测评机构将依据 GB/T 22239 标准对信息系统的安全防护能力进行全面检测和评估，并出具测评报告。

三、申请要求

（一）技术要求

1. 物理安全：信息系统所在机房应具备完善的物理访问控制措施，如门禁系统、监控设备等，防止非法人员进入机房；机房的电力供应应稳定可靠，配备不间断电源（UPS）和备用发电机，以应对电力故障；同时，机房的温湿度、防火、防水等环境条件也应符合相关标准要求。
2. 网络安全：需部署防火墙、入侵检测 / 防御系统（IDS/IPS）等网络安全设备，对网络流量进行监控和过滤，防止外部网络攻击；划分不同安全区域，实施严格的访问控制策略，限制不同区域之间的网络访问；采用虚拟专用网络（VPN）等技术保障远程访问的安全性。
3. 主机安全：对服务器、终端等主机设备进行安全加固，包括安装最新的操作系统补丁、设置强密码策略、禁用不必要的服务和端口等；安装防病毒软件和主机入侵检测系统，实时监测和防范病毒、木马等恶意软件的入侵。
4. 应用安全：应用程序开发过程应遵循安全开发规范，进行代码安全审计和漏洞扫描，及时发现和修复安全漏洞；采用身份认证、授权管理、数据加密等技术手段，保障应用系统的用户身份真实性、访问权限合理性以及数据传输和存储的保密性。
5. 数据安全：建立完善的数据备份与恢复机制，定期对重要数据进行备份，并将备份数据存储在安全可靠的位置；采用数据加密技术对敏感数据进行加密存储和传输，确保数据在整个生命周期内的安全性。

（二）管理要求

1. 安全管理制度：建立健全信息安全管理制度体系，包括人员安全管理、设备安全管理、数据安全管理、应急响应管理等制度，明确各部门和人员在信息安全工作中的职责和权限，确保信息安全工作有章可循。
2. 人员安全管理：对涉及信息系统操作和管理的人员进行背景审查和安全培训，提高人员的安全意识和操作技能；制定人员离岗离职管理流程，及时收回离职人员的系统访问权限，防止因人员变动带来的安全风险。
3. 安全运维管理：建立日常安全运维工作流程，包括安全设备的监控与维护、系统漏洞的监测与修复、安全事件的日志记录与分析等；定期开展安全检查和风险评估工作，及时发现和解决信息系统存在的安全隐患。
4. 应急响应管理：制定完善的信息安全事件应急响应预案，明确应急响应流程、责任分工和处置措施；定期组织应急演练，提高应对信息安全突发事件的能力，确保在安全事件发生时能够快速响应、有效处置，最大限度降低损失。