浙江 GB/T 22239 信息安全等级保护申请流程及要求全解

一、信息安全等级保护概述

二、浙江信息安全等级保护申请流程

（一）确定信息系统等级

（二）备案准备

1. 整理备案材料
   • 信息系统备案表：需如实填写系统的基本信息，包括名称、域名、IP 地址范围、网络拓扑结构等。
   • 网络安全等级保护定级报告：详细阐述系统定级的依据和过程，分析系统面临的安全威胁和风险。
   • 网络安全等级保护安全设计方案：针对系统的安全需求，提出相应的技术和管理安全措施设计。
   • 网络安全等级保护安全管理制度文档：涵盖人员安全管理、访问控制管理、数据备份与恢复管理等一系列制度文件。
   
   
2. 材料审核与修改
   对准备好的备案材料进行内部审核，确保内容完整、准确、符合要求。如有问题及时修改完善。

（三）提交备案申请

（四）备案审核

（五）系统测评

1. 选择测评机构
   备案审核通过后，组织需选择具备资质的第三方测评机构对信息系统进行等级测评。浙江有多家专业的测评机构可供选择，可通过查询相关资质认证信息确定合适的测评机构。
2. 开展测评工作
   测评机构依据 GB/T 22239 标准对信息系统的安全技术和安全管理状况进行全面测评，包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面。测评过程中会通过技术检测工具和人工检查相结合的方式进行，并形成详细的测评报告。

（六）整改与复查

（七）监督检查

三、浙江信息安全等级保护申请要求

（一）技术要求

1. 物理安全
   • 信息系统所在机房应具备完善的物理访问控制措施，如门禁系统、视频监控等，防止非法入侵。
   • 机房的电力供应、温湿度控制、防火防水等环境保障设施应可靠运行，确保系统硬件设备的稳定运行。
   
   
2. 网络安全
   • 需部署防火墙、入侵检测 / 防御系统等网络安全设备，对网络边界进行有效防护，阻止外部非法网络访问和攻击。
   • 对网络流量进行监控和分析，及时发现异常流量并采取相应措施。
   • 网络设备应进行安全配置，如设置强密码、定期更新系统补丁等。
   
   
3. 主机安全
   • 服务器和终端设备应安装正版操作系统和安全防护软件，并及时更新病毒库和系统补丁。
   • 对主机的用户权限进行严格管理，限制不必要的用户访问和操作权限。
   • 对重要数据进行加密存储，防止数据泄露。
   
   
4. 应用安全
   • 应用系统应具备身份认证、访问控制、数据完整性和保密性等安全功能。
   • 对应用程序进行代码安全审查，及时发现并修复代码漏洞。
   • 建立应用系统的安全应急响应机制，在遭受攻击或出现故障时能够快速恢复和处理。
   
   
5. 数据安全及备份恢复
   • 制定数据分类分级管理制度，对不同级别的数据采取不同的安全保护措施。
   • 建立数据备份与恢复策略，定期进行数据备份，并对备份数据进行妥善存储和管理，确保在数据丢失或损坏时能够快速恢复。
   
   

（二）管理要求

1. 安全管理制度
   • 建立健全信息安全管理制度体系，包括信息安全方针、策略、操作规程等，并定期进行评审和修订。
   • 明确各部门和人员在信息安全管理中的职责和权限，确保安全管理工作的有效落实。
   
   
2. 安全管理机构
   • 设置专门的信息安全管理部门或岗位，配备足够的安全管理人员，负责信息系统的安全管理工作。
   • 安全管理人员应具备相应的专业知识和技能，并定期接受培训和考核。
   
   
3. 人员安全管理
   • 对信息系统相关人员进行背景审查和安全培训，提高人员的安全意识和操作技能。
   • 对离职人员的账号和权限及时进行注销和回收，防止因人员变动带来的安全风险。
   
   
4. 系统建设管理
   • 在信息系统的规划、设计、开发、测试和上线过程中，应遵循信息安全相关标准和规范，将安全要求融入到系统建设的各个环节。
   • 对系统建设项目进行安全评审和验收，确保系统建设符合安全要求。
   
   
5. 系统运维管理
   • 建立信息系统运维管理制度，规范系统日常运维操作流程，如设备巡检、故障处理、系统升级等。
   • 对运维操作进行日志记录和审计，以便追溯和分析运维过程中的安全事件。