上海 GB/T 22239 信息安全等级保护申请流程及要求全解

一、引言

二、GB/T 22239 标准概述

三、上海地区信息安全等级保护的意义

（一）符合法律法规要求

（二）保护商业利益和声誉

（三）保障城市信息安全生态

四、申请流程

（一）确定信息系统的安全等级

1. 企业或组织首先要对自身信息系统进行全面评估，包括信息资产的重要性、受到破坏后的影响程度、业务对信息系统的依赖程度等因素。
2. 根据评估结果，依据 GB/T 22239 标准，确定信息系统属于第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）或第五级（专控保护级）中的哪一个等级。在上海，大部分企业涉及的多为二级和三级系统。

（二）准备备案材料

1. 定级报告：详细阐述信息系统的基本情况、确定安全等级的方法和理由。
2. 备案表：按照规定格式填写信息系统的相关信息，如名称、所属单位、网络结构、安全防护措施等内容。
3. 其他辅助材料：如信息系统的拓扑图、安全管理制度文档等，这些材料有助于更全面地了解信息系统的安全状况。

（三）提交备案申请

1. 线上提交：上海建立了专门的信息安全等级保护备案管理系统，企业可通过该系统上传备案材料。在提交过程中，要确保材料的完整性和准确性，按照系统提示填写各项信息。
2. 线下提交（如有需要）：对于部分特殊情况或监管部门要求，可能还需要将纸质备案材料提交至当地公安机关网安部门或指定的受理机构。

（四）备案审核

1. 初审：公安机关网安部门收到备案申请后，会对材料进行初步审查。主要检查材料是否齐全、定级是否合理等。如果存在问题，会通知企业进行补充或修改。
2. 复核（针对部分等级）：对于二级以上的信息系统，可能会进行更深入的复核工作，包括现场核查等，以确保信息系统的实际情况与备案材料相符。

（五）安全建设与整改（如果有要求）

1. 如果在备案审核过程中发现信息系统存在安全漏洞或不符合等级保护要求的情况，企业需要根据整改意见进行安全建设和整改。这可能包括增加安全设备、完善安全策略、加强人员安全培训等措施。
2. 在整改完成后，要提交整改报告，说明整改的内容和效果，接受公安机关的复查。

（六）获得备案证明

1. 经过审核和整改（如需要）后，如果信息系统符合相应等级的保护要求，公安机关将颁发信息安全等级保护备案证明。
2. 企业应妥善保管备案证明，并在规定的有效期内接受公安机关的监督检查。

五、申请要求

（一）技术要求

1. 物理安全方面：在上海的企业，信息系统所在机房要符合相应等级的物理防护标准，如机房位置选择要考虑自然灾害和周边环境安全，机房的门禁、监控等设施要完善，确保只有授权人员能够进入。
2. 网络安全方面：网络边界防护要到位，如部署防火墙、入侵检测 / 防御系统等设备。网络设备的配置要合理，保证网络通信的保密性、完整性和可用性。对于三级及以上系统，可能需要采用更高级的网络隔离技术。
3. 主机安全方面：主机操作系统要及时更新补丁，安装防病毒软件，并进行合理的用户权限管理。对于重要的服务器，要采取双机热备等冗余措施，确保主机的稳定运行。
4. 应用安全方面：应用程序要进行安全开发，防止 SQL 注入、跨站脚本攻击等常见的安全漏洞。同时，应用系统要具备身份认证、访问控制等功能，并且对用户的操作进行审计。
5. 数据安全及备份恢复方面：数据要进行分类分级存储，采用加密技术保护敏感数据。要建立完善的数据备份和恢复策略，确保数据在遭受破坏后能够及时恢复。对于关键业务数据，可能需要采用异地备份等更高级的备份方式。

（二）管理要求

1. 安全管理制度：企业要建立健全信息安全管理制度，包括人员管理、设备管理、安全审计等方面的制度。这些制度要明确各部门和人员在信息安全方面的职责和工作流程。
2. 安全管理机构：设立专门的信息安全管理机构或指定专人负责信息安全管理工作。安全管理机构要定期召开会议，研究和解决信息安全问题。
3. 人员安全管理：对涉及信息系统的人员要进行背景审查和安全培训。员工离职时，要及时收回其权限，并对其使用过的设备和存储介质进行检查。
4. 系统建设管理：在信息系统的建设过程中，要遵循安全同步规划、同步建设、同步使用的原则。新系统上线前要进行安全测试和评估。
5. 系统运维管理：建立日常的系统运维管理制度，包括设备巡检、漏洞扫描、应急响应等内容。对于发现的安全问题要及时处理，并做好记录。

六、结语