什么情况下需要做等保，等保三级的标准是什么?

那些情况下需做等保？

企业或组织需进行等保的情况下需做等保。因为等保是信息安全等级保护的一种管理模式是我们国内信息安全保护的标准模式之一，适用于国家秘密、重要信息系统及互联网还有重要基础设施。企业或组织涉及的信息或系统假设具有重要性或敏感性，还需根据等级要求进行等保操作。同时，一部分行业也有有关规定要求进行等保，比如金融、电信等行业。因为这个原因，按照信息的重要性和敏感性需进行等保操作。

等保三级的标准是什么？

1、物理安都分

　　（1）机房区域划分至少分主机房和监控区两个部分；

　　（2）机房应配备电子门禁系统、防盗报警系统、监控系统；

　　（3）机房不应该出现窗户，应配备专用的气体灭火、ups供电系统。

　　2、互联网安都分

　　（1）应绘制与现目前运行情况符合合的拓扑图；

　　（2）交换机、防火墙等设备配置应符合相关规定和要求，比如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要互联网设备和服务器应进行IP/MAC绑定等；

　　（3）应配备互联网审计设备、入侵检测或防御设备。

　　（4）交换机和防火墙的身份鉴别机制要满足等保要求，比如登录账号用户名称密码复杂度策略，在线登录访问失败处理机制、用户角色和权限控制等；

　　（5）互联网链路、核心互联网设备和安全设备，需提供冗余性设计。

　　3、主机安都分

　　（1）服务器的自己配置应符合相关规定和要求，比如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；

　　（2）服务器应具有冗余性，比如需双机设备或集群部署等；

　　（3）服务器和重要互联网设备一定要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞；

　　（4）应配备专用的日志服务器保存主机、数据库的审计日志。

　　4、应用安都分

　　（1）应用自己功能满足等保要求，比如身份鉴别机制、审计日志、通信和存储加密等；

　　（2）应用处应考虑部署网页防恶意修改设备；

　　（3）应用的安全评估，应不存在中高级风险以上的漏洞；

　　（4）应用系统出现的日志应保存至专用的日志服务器。

　　5、数据安全备份

　　（1）应提供数据的本地备份机制，每天备份至本地，且场外存放；

　　（2）如系统中存在核心重要数据，应提供异地数据备份功能，通过互联网等将数据传输至异地进行备份；

1、等保三级又被称为国家信息安全等级保护三级认证是中国权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护规定及有关制度规定，根据管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

2、这当中根据评定等级可以分为一至五级测评。三级等保是国家对非银行机构的高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求，包含信息保护、安全审计、通信保密等近300项要求，共涉及测评分类73类，要求十分严格。

3、三级等保认证严的地方是在技术方面，主要反映在系统安全管理和恶意代码防范上，简单的说，就是每当有黑客对平台进行攻击时，平台具备一定的防范能力。

等保2.0配置清单？

安全物理环境

1.1 物理位置选择

本项要求涵盖：

a）机房场地应选择在具有防震、防风和防雨等能力的建筑内；

b）机房场地要尽可能避免设在建筑物的顶层或地下室，不然应加强防水和防潮措施。

1.2 物理访问控制

机房出通道入口应具体安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。

1.3 防盗窃和防破坏

本项要求涵盖：

a）应将设备或主要部件进行固定，并设置明显的不易除去的标识；

b）应将通信线缆铺设在隐蔽安全处。

1.4 防雷击

应将各种机柜、设施和设备等通过接地系统安全接地。

1.5 防火

本项要求涵盖：

a）机房应设置火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；

b）机房及有关的工作房间和辅助房应采取具有耐火等级的建筑材料。

1.6 防水和防潮

本项要求涵盖：

a）应采用措施防止雨水通过机房窗户、屋顶和墙壁渗透；

b）应采用措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.7 防静电

应采取防静电地板或地面并采取必要的接地防静电措施。

1.8 温湿度控制

应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范園之内。

1.9 电力供应

本项要求涵盖：

a）可以在机房供电线路上配置稳压器和过电压防护设备；

b）应提供短时间的备用电力供应，至少满足设备在断电情况下的正常运行要求。

1.10 电磁防护

电源线和通信线缆应隔离铺设，不要相互干扰。

2 安全通信互联网

2.1 互联网架构

本项要求涵盖：

a）应划分不一样的互联网区域，并根据方便管理和控制的原则为各互联网区域分配地点位置；

b）要尽可能避免将重要 络区域部署在边界处，重要互联网区域与其他互联网区域当中应采用可靠的技术隔离手段。

2.2 通信传输

应采取校验技术保证通信途中数据的完整性。

2.3 可信验证

可根据可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

3 安全区域边界

3.1 边界防护

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

3.2 访问控制

本项要求涵盖：

a）可以在互联网边界或区域当中按照访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝全部通信；

b）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量小化；

c）应对源地点位置、目标地点位置、源端口、目标端口和协议等进行检查，以允许/拒绝数据包进出；

d）应能按照会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

3.3 入侵防范

可以在重要互联网节点处监视互联网攻击行为。

3.4 恶意代码防范。

可以在重要互联网节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。

3.5 安全审计

本项要求涵盖：

a）可以在互联网边界、重要互联网节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b）审计记录应涵盖事件的日期和时间、用户、事件类型、事件是不是成功及其他与审计有关的信息；

c）应对审计记录进行保护，定期备份，不要受到未预期的删除、更改或覆盖等。

3.6 可信验证

可根据可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

4 安全计算环境

4.1 身份鉴别

本项要求涵盖：

a）应对在线登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更改替换；

b）应具有在线登录失败处理功能，应配置并启用结束会话、限制非法在线登录次数和当在线登录连接超时自动退出等有关措施；

c）当进行远程管理时，应采用必要措施防止鉴别信息在互联网传输途中被窃听。

4.2 访问控制

本项要求涵盖：

a）应对在线登录的用户分配账户和权限：

b）应重命名或删除默认账户，更改默认账户的默认口令； 。

c）应及时删除或停用多余的、超过要求规定的时间的账户，不要共享账户的存在；

d）应授予管理用户所需的小权限，达到管理用户的权限分离。

4.3 安全审计

本项要求涵盖：

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b）审计记录应涵盖事件的日期和时间、用户、事件类型、事件是不是成功及其他与审计有关的信息；

c）应对审计记录进行保护，定期备份，不要受到未预期的删除、更改或覆盖等。

4.4 入侵防范。

本项要求涵盖：

a）应遵守小安装的原则，仅安装需的组件和应用程序；

b）应关闭不用的系统服务、默认共享和高危端口；

c）应通过设定终端接入方法或互联网地点位置范围对通过互联网进行管理的管理终端进行限制；

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的主要内容满足系统设定要求；

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

4.5 恶意代码防范

应安装防恶意代码软件或配置具有对应功能的软件，并定期进行升级和更新防恶意代码库。

4.6 可信验证

可根据可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

4.7 数据完整性

应采取校验技术保证重要数据在传输途中的完整性。

4.8 数据备份恢复

本项要求涵盖：

a）应提供重要数据的本地数据备份与恢复功能；

b）应提供异地数据备份功能，利用通信互联网将重要数据定时批量传送至备用场地。

4.9 剩下信息保护

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

4.10 个人信息保护

本项要求涵盖：

a）应仅采集和保存业一定需的用户个人信息；

b）应不允许未授权访问和非法使用用户个人信息。

5 安全管理中心

5.1 系统管理

本项要求涵盖：

a）应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；

b）应通过系统管理员对系统的资源和运行进行配置、控制和管理，涵盖用户身份、系统资源配置、系统加载和开始、系统运行的异常处理、数据和设备的备份与恢复等。

5.2 审计管理

本项要求涵盖：

a）应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；

b）应通过审计管理员对审计记录进行认真分析，并按照分析多得出的结论进行一定程度的处理，涵盖按照安全审计策略对审计记录进行存储、管理和查询等。

6 安全管理制度

6.1 安全策略

应制定互联网安全工作的整体方针和安全策略，阐明机构安全工作的整体目标、范围、原则和安全框架等。

6.2 管理制度

本项要求涵盖：

a）应对安全管理活动中的主要管理内容建立安全管理制度；。

b）应对管理人员或操作人员执行的平日管理操作建立操作规程。

6.3 制定和公布

本项要求涵盖：

a）应指定或授权针对的部门或人员负责安全管理制度的制定；

b）安全管理制度应通过正式、有效的方法公布，并进行版本控制。

6.4 评审和修订

应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不够或需改进的安全管理制度进行修订。

7 安全管理机构

7.1 岗位设置

本项要求涵盖：

a）应设立互联网安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；

b）应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责。

7.2 人员配备

应配备一部分的系统管理员、审计管理员和安全管理员等。

7.3 授权和审批

本项要求涵盖：

a）应按照各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；

b）应针对系统变更、重要操作。物理访问和系统接入等事项执行审批过程。

7.4 沟通和合作

本项要求涵盖：

a）应加强各种管理人员、我们的组织内部机构和互联网安全管理部门当中的合作与沟通，定期召开协调会议，共同协作处理互联网安全问题；

b）应加强与互联网安全职能部门、各种供应商、业界专家及安全组织的合作与沟通；

c）应建立外联单位联系列表，涵盖外联单位名称、合作内容，联系人和联系方法等信息。

7.5 审查核验和检查

应定期进行常见安全检查，检查内容涵盖系统平日运行、系统漏洞和数据备份等情形。

8 安全管理人员

8.1 人员录用

本项要求涵盖：

a）应指定或授权针对的部门或人员负责人员录用：

b）应对被录用人员的身份、安全背景、专业资格或资质等进行审核查验。

8.2 人员离岗

应及时终止离岗人员的全部访问权限，取回各自不同的居民身份证件、钥匙、微章等还有机构提供的软硬件设备。

8.3 安全意识教育和培训

应对各种人员进行安全意识教育和岗位技能培，并告知有关的安全责任和惩戒措施。

8.4 外部人员访问管理

本项要求涵盖：

a）可以在外部人员物理访问受控区域前先提出书面申请，批准后由专人整个过程陪同，并登记备案；

b）可以在外部人员接入受控互联网访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案；

c）外部人员离场后应及时清除其全部的访问权限。

9 安全建设管理

9.1 定级和备案

本项要求涵盖：

a）应以书面的形式说明保护对象的安全保护等级及确定等级的方式和理由；

b）应组织有关部门和相关安全技术专家对定级结果的合理性和正确性进行论证和审定；

c）应保证定级结果经过有关部门的批准；

d）应将备案材料报主管该项目的部门和对应公安机关备案。

9.2 安全方案设计

本项要求涵盖：

a）应按照安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

b）应按照保护对象的安全保护等级进行安全方案设计；

c）应组织有关部门和相关安全专家对安全方案的合理性和正确性进行论证和审定，经过批准后才可以正式开展。

9.3 产品采购和使用

本项要求涵盖：

a）应保证互联网安全产品采购和使用满足国家的相关规定；

b）应保证密码产品与服务的采购和使用满足国家密码管理主管该项目的部门的要求。

9.4 自行软件开发

本项要求涵盖：

a）应将开发环境与实质上运行环境物理分开，测试数据和测试结果受到控制；

b）可以在软件开发途中对安全性开启测试，在软件安装前对可能存在的恶意代码进行检测。

9.5 外包软件开发

本项要求涵盖：

a）可以在软件交付前检测这当中可能存在的恶意代码；

b）应保证开发单位提供软件设计文档和使用指南。

9.6 工程开展

本项要求涵盖：

a）应指定或授权针对的部门或人员负责工程开展过程的管理；

b）应制定安全工程开展方案控制工程开展过程。

9.7 测试验收

本项要求涵盖：

a）应制订测试验收方案，并依据测试验收方案开展测试验收，形成测试验收报告；

b）应进行上线前的安全性测试，并出具安全测试报告。

9.8 系统交付

本项要求涵盖：

a）应制定交付清单，并按照交付清单对所交接的设备、软件和文档等进行清点；

b）应对负责运行维护的技术人员进行对应的技能培训；

c）应提供建设这一长期过程文档和运行维护文档。

9.9 等级测评

本项要求涵盖：

a）应定期进行等级测评，发现不满足对应等级保护标准要求的及时整改；

b）可以在出现重要变更或级别出现变化时进行等级测评；

c）应保证测评机构的选择满足国家相关规定。

9.10 服务供应商选择

本项要求涵盖：

a）应保证服务供应商的选择满足国家的相关规定；

b）应与选定的服务供应商签署有关协议，明确整个服务供应链各方需履行的互联网安全有关义务。

10 安全运维管理

10.1 环境管理

本项要求涵盖：

a）应指定针对的部门或人员负责机房安全，对机房出人进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；

b）应对机房的安全管理做出规定，涵盖物理访问、物品进出和环境安全等：

c应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。

10.2 资产管理

应编制并保存与保护对象有关的资产清单，涵盖资产责任部门、重要程度和所身处位置等内容。

10.3 介质管理

本项要求涵盖：

a）应将介质存放在安全的环境中，对各种介质进行控制和保护，实行存储环境专人管理，并按照存档介质的目录清单定期盘点；

b）应对介质在物理传输途中的人员选择、打包、交付等情形进行控制，并对介质的归档和查询等进行登记记录。

10.4 设备维护管理

本项要求涵盖：

a）应对各自不同的设备（涵盖备份和冗余设备）、线路等指定针对的部门或人员定期进行维护管理；

b）应对配套设施、 软硬件维护管理做出规定，涵盖明确维护人员的责任、维修和服务的审批，维修过程的监督控制等。

10.5 漏洞和风险管理

应采用必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

10.6 互联网和系统安全管理。

本项要求涵盖：

a）应划分不一样的管理员角色进行互联网和系统的运维管理，明确各个角色的责任和权限；

b）应指定针对的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；

c）应建立互联网和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、平日操作、升级与打补丁、口令更新周期等方面作出规定；

d）应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；

e）应具体记录运维操作日志，涵盖平日巡检工作、运行维护记录、参数的设置和更改等内容。

10.7 恶意代码防范管理

本项要求涵盖：

a）应提升全部用户的防恶意代码意识，对外来计算机或存储设备接人系统前进行恶意代码检查等；

b）应对恶意代码防范要求做出规定，涵盖防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等；

c）应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。

10.8 配置管理

应记录和保存基本配置信息，涵盖互联网拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。

10.9 密码管理

本项要求涵盖：

a）应遵守密码有关国家标准和行业标准；

b）应使用国家密码管理主管该项目的部门认证核准的密码技术和产品。

10.10 变更管理

应明确变更需求，变更前按照变更需求制定变更方案，变更方案经过评审、审批后才可以开展。

10.11 备份与恢复管理

本项要求涵盖：

a）应识别需定期备份的重要业务信息、系统数据及软件系统等；

b）应规定备份信息的备份方法、备份频度、存储介质保存期等；

c）应按照数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

10.12 安全事件处置

本项要求涵盖：

a）应及时向安全管理部门报告所发现的安全弱点和可疑事件；

b）应制定安全事件报告和处置管理制度，明确不一样安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；

c）可以在安全事件报告和响应处理途中，分析和鉴定事件出现的因素，收集证据，记录处理过程，总结经验教训。

10.13 应急预案管理

本项要求涵盖：

a）应制定重要事件的应急预案，涵盖应急处理流程、系统恢复流程等内容；

b）应定期对系统有关的人员进行应急预案培训，并进行应急预案的演练。

10.14 外包运维管理

本项要求涵盖：

a）应保证外包运维服务商的选择满足国家的相关规定；

b）应与选定的外包运维服务商签署有关的协议，明确约定外包运维的范围、工作内容。

做等保测评需什么资质？

按照GA/T483-2023《计算机信息系统安全等级保护工程管理要求》这个文件，对等级保护建设工作的各参加方的资格性要求有：

一，针对承建等保建设项目标公司、企业单位有要求，要求其具备《计算机信息系统企业集成资质证书》，因国家针对等级保护建设的性质定义为计算机信息系统集成类工程，故此，要求等级保护承建单位一定要具备该项资质认证。

二，针对等级保护测评服务机构或单位有要求，要求其具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证，唯有具备该资质认证的企业才可以对等级保护建设业主单位进公务员行政职业能力测验评，所出具的测评报告才可以具备等级保护测评效力。

等

等保三级需配置什么设备？

等保三级是我们国内安全等级保护的三级标准，涵盖了互联网、系统、数据等方面的安全管理要求。在开展等保三级时，需配置以下设备：

1. 防火墙：负责对进出互联网的流量进行控制和监控，保证互联网的安全性与稳定性。

2. 入侵检测系统（IDS）和入侵防御系统（IPS）：可以识别和拦截不法攻击，不要恶意攻击导致的损失。

3. 安全审计设备：负责对系统和应用程序进行审计，并生成日志记录，以帮管理员及时发现漏洞与异常行为，并进行整改。

4. 安全加固设备：可以对主机、服务器等重要设备进行加固，减少被黑客攻击的风险。

5. 安全网关设备：通过对内部与外部互联网流的过滤、代理和转换等方法，保证内网的安全。

6. 安全认证设备：比如身份认证、访问控制等设备，可以有效防止恶意用户或未经授权的第三方访问机密信息。

7. 安全监控设备：如视频监控、防盗报警等设备，对系统和互联网基础设施进行实时监控，保证物理安全。

以上仅是等保三级中一些重要设备的列举，详细的配置要求会因实质上情况和业务需求而带来一定不一样。除开这点还要有按照目前的实际情况建立健全的安全管理机构和规范，加强风险评估和管理，提高安全意识，才可以更好地开展等保三级保护。

s2a2g2等保分别代表什么？

s2a2g2代表信息安全类要求为二级，服务保证类要求为二级，通用安全保护类也是二级。

S\\A\\G 是指《信息系统等级保护基本要求》里定义的要求项，这当中 S 是信息安全类要求，A 是服务保证类要求，G 是通用安全保护类。后面的数字代表等级，S1 的意思其实就是常说的信息安全类 1 级要求，a3 系统服务安全保护类的 3 级，g3 通用安全保护类的 3 级。

健康管理师备考资料及辅导课程

健康管理师培训班-名师辅导课程