等级保护三级信息系统制度清单

信息系统安全等级保护基本要求1 三级基本要求..............................................................1.1 技术要求................................................................1.1.1 物理安全.............................................................. 物理位置的选择（G3）......................................................... 物理访问控制（G3）........................................................... 防盗窃和防破坏（G3）......................................................... 防雷击（G3）................................................................. 防火（G3）................................................................... 防水和防潮（G3）............................................................. 防静电（G3）................................................................. 温湿度控制（G3）............................................................. 电力供应（A3）............................................................... 电磁防护（S3）...............................................................1.1.2 网络安全.............................................................. 结构安全（G3）............................................................... 访问控制（G3）............................................................... 安全审计（G3）............................................................... 边界完整性检查（S3）......................................................... 入侵防范（G3）............................................................... 恶意代码防范（G3）........................................................... 网络设备防护（G3）...........................................................1.1.3 主机安全.............................................................. 身份鉴别（S3）............................................................... 访问控制（S3）............................................................... 安全审计（G3）............................................................... 剩余信息保护（S3）........................................................... 入侵防范（G3）............................................................... 恶意代码防范（G3）........................................................... 资源控制（A3）...............................................................1.1.4 应用安全.............................................................. 身份鉴别（S3）............................................................... 访问控制（S3）............................................................... 安全审计（G3）............................................................... 剩余信息保护（S3）........................................................... 通信完整性（S3）............................................................. 通信保密性（S3）............................................................. 抗抵赖（G3）................................................................. 软件容错（A3）............................................................... 资源控制（A3）...............................................................1.1.5 数据安全及备份恢复.................................................... 数据完整性（S3）.............................................................备份和恢复（A3）.............................................................1.2 管理要求................................................................1.2.1 安全管理制度.......................................................... 管理制度（G3）............................................................... 制定和发布（G3）............................................................. 评审和修订（G3）.............................................................1.2.2 安全管理机构.......................................................... 岗位设置（G3）............................................................... 人员配备（G3）............................................................... 授权和审批（G3）............................................................. 沟通和合作（G3）............................................................. 审核和检查（G3）.............................................................1.2.3 人员安全管理.......................................................... 人员录用（G3）............................................................... 人员离岗（G3）............................................................... 人员考核（G3）............................................................... 安全意识教育和培训（G3）..................................................... 外部人员访问管理（G3）.......................................................1.2.4 系统建设管理.......................................................... 系统定级（G3）............................................................... 安全方案设计（G3）........................................................... 产品采购和使用（G3）......................................................... 自行软件开发（G3）........................................................... 外包软件开发（G3）........................................................... 工程实施（G3）............................................................... 测试验收（G3）............................................................... 系统交付（G3）............................................................... 系统备案（G3）............................................................... 等级测评（G3）............................................................... 安全服务商选择（G3）.........................................................1.2.5 系统运维管理.......................................................... 环境管理（G3）............................................................... 资产管理（G3）............................................................... 介质管理（G3）............................................................... 设备管理（G3）............................................................... 监控管理和安全管理中心（G3）................................................. 网络安全管理（G3）........................................................... 系统安全管理（G3）........................................................... 恶意代码防范管理（G3）....................................................... 密码管理（G3）............................................................... 变更管理（G3）............................................................... 备份与恢复管理（G3）......................................................... 安全事件处置（G3）...........................................................第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

版本号：1.0. xxxx 信息系统安全管理体系架构第一章总则第一条为加强和规范我单位信息系统安全管理体系建设工作，保证信息的机密性、完整性和可用性，实现信息系统的安全，提高信息系统安全管理体系的效率，依据国家有关法律、法规的要求，制定本文件。

第二条本文件适用于我单位信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进，指导信息系统安全管理体系的制定和使用。

第三条我单位信息系统安全取决于技术和管理两个要素。

安全管理是安全技术发挥功效的重要保障和支撑。

安全管理体系包括3个层次的管理文件，第一层：总体文件，第二层：管理规定，第三层：操作规程（包括实用表格），内容覆盖信息系统生命周期模型的计划组织、开发采购、实施交付、运行维护、废弃全部五个阶段。

第四条安全管理体系的建立与完善过程采取PDCA模式。

其中P为策划过程，根据信息系统安全等级保护（三级）管理的要求和方针，草拟、评审、发布管理文件；D为实施过程，按照管理规定和操作规程对信息系统实施安全管理；C为检查过程，根据信息安全的要求，对实施过程和信息安全进行监控和测量，并报告结果；A为改进过程，根据检查结果采取措施，以持续改进管理体系。

第五条本文件的编制参照了以下国家的标准和文件：（一）《中华人民共和国计算机信息系统安全保护条例》（二）《信息系统安全等级保护基本要求》（GB/T 22239-2008）（三）《信息系统安全管理要求》（GB/T 20269—2006）（四）《信息安全管理体系要求》（GB/T 22080—2008）第二章总体文件第六条总体文件是一切信息安全保障活动的基础和出发点，指导我单位信息安全保障体系的开发和实施，为信息安全建设和实施指明方向，通过定义一套规则来规范信息安全体系的建设、运行和管理。

第七条总体文件包括2个文件：《信息系统安全总体策略》、《信息系统安全管理体系架构》。

第八条《信息系统安全总体策略》目的、作用目的与作用：规范和管理我单位信息系统安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控；为我单位信息系统安全管理提供一个总体的策略性架构文件，指导信息系统的安全体系的建立，以实现统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营；对信息系统全生命周期过程中所有的信息安全保障工作内容进行定义，是一切信息安全活动的出发点和核心。

信息系统安全等级保护基本要求1 三级基本要求 (3)1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择（G3） (3)1.1.1.2 物理访问控制（G3） (3)1.1.1.3 防盗窃和防破坏（G3） (3)1.1.1.4 防雷击（G3） (3)1.1.1.5 防火（G3） (3)1.1.1.6 防水和防潮（G3） (4)1.1.1.7 防静电（G3） (4)1.1.1.8 温湿度控制（G3） (4)1.1.1.9 电力供应（A3） (4)1.1.1.10 电磁防护（S3） (4)1.1.2 网络安全 (4)1.1.2.1 结构安全（G3） (4)1.1.2.2 访问控制（G3） (4)1.1.2.3 安全审计（G3） (5)1.1.2.4 边界完整性检查（S3） (5)1.1.2.5 入侵防范（G3） (5)1.1.2.6 恶意代码防范（G3） (5)1.1.2.7 网络设备防护（G3） (5)1.1.3 主机安全 (6)1.1.3.1 身份鉴别（S3） (6)1.1.3.2 访问控制（S3） (6)1.1.3.3 安全审计（G3） (6)1.1.3.4 剩余信息保护（S3） (7)1.1.3.5 入侵防范（G3） (7)1.1.3.6 恶意代码防范（G3） (7)1.1.3.7 资源控制（A3） (7)1.1.4 应用安全 (7)1.1.4.1 身份鉴别（S3） (7)1.1.4.2 访问控制（S3） (8)1.1.4.3 安全审计（G3） (8)1.1.4.4 剩余信息保护（S3） (8)1.1.4.5 通信完整性（S3） (8)1.1.4.6 通信保密性（S3） (8)1.1.4.7 抗抵赖（G3） (8)1.1.4.8 软件容错（A3） (8)1.1.4.9 资源控制（A3） (8)1.1.5 数据安全及备份恢复 (9)1.1.5.1 数据完整性（S3） (9)1.1.5.2 数据保密性（S3） (9)1.1.5.3 备份和恢复（A3） (9)1.2 管理要求 (9)1.2.1 安全管理制度 (9)1.2.1.1 管理制度（G3） (9)1.2.1.2 制定和发布（G3） (10)1.2.1.3 评审和修订（G3） (10)1.2.2 安全管理机构 (10)1.2.2.1 岗位设置（G3） (10)1.2.2.2 人员配备（G3） (10)1.2.2.3 授权和审批（G3） (10)1.2.2.4 沟通和合作（G3） (10)1.2.2.5 审核和检查（G3） (11)1.2.3 人员安全管理 (11)1.2.3.1 人员录用（G3） (11)1.2.3.2 人员离岗（G3） (11)1.2.3.3 人员考核（G3） (11)1.2.3.4 安全意识教育和培训（G3） (11)1.2.3.5 外部人员访问管理（G3） (12)1.2.4 系统建设管理 (12)1.2.4.1 系统定级（G3） (12)1.2.4.2 安全方案设计（G3） (12)1.2.4.3 产品采购和使用（G3） (12)1.2.4.4 自行软件开发（G3） (13)1.2.4.5 外包软件开发（G3） (13)1.2.4.6 工程实施（G3） (13)1.2.4.7 测试验收（G3） (13)1.2.4.8 系统交付（G3） (13)1.2.4.9 系统备案（G3） (14)1.2.4.10 等级测评（G3） (14)1.2.4.11 安全服务商选择（G3） (14)1.2.5 系统运维管理 (14)1.2.5.1 环境管理（G3） (14)1.2.5.2 资产管理（G3） (14)1.2.5.3 介质管理（G3） (15)1.2.5.4 设备管理（G3） (15)1.2.5.5 监控管理和安全管理中心（G3） (15)1.2.5.6 网络安全管理（G3） (15)1.2.5.7 系统安全管理（G3） (16)1.2.5.8 恶意代码防范管理（G3） (16)1.2.5.9 密码管理（G3） (16)1.2.5.10 变更管理（G3） (16)1.2.5.11 备份与恢复管理（G3） (17)1.2.5.12 安全事件处置（G3） (17)1.2.5.13 应急预案管理（G3） (17)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

一、总则第一条为确保信息系统安全，保障国家秘密、商业秘密和个人信息安全，根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等法律法规，结合本单位的实际情况，制定本制度。

第二条本制度适用于本单位所有信息系统，包括但不限于内部办公系统、业务系统、数据库系统、网站系统等。

第三条信息系统安全等级保护工作应遵循以下原则：1. 预防为主、防治结合；2. 综合管理、分步实施；3. 安全责任到人、制度明确；4. 安全教育与培训相结合。

二、组织机构及职责第四条成立信息系统安全等级保护工作领导小组，负责统筹协调、监督指导等保三级安全管理工作。

第五条信息系统安全等级保护工作领导小组下设以下工作机构：1. 安全管理办公室：负责制定、修订和实施等保三级安全管理制度，组织开展安全培训和宣传教育工作；2. 技术保障部门：负责信息系统安全等级保护的技术支持、安全检查和应急响应等工作；3. 运维管理部门：负责信息系统安全等级保护的日常运维管理，确保系统安全稳定运行；4. 法规事务部门：负责信息系统安全等级保护的法律法规咨询、合规审查和纠纷处理等工作。

第六条各工作机构的职责如下：1. 安全管理办公室：（1）制定、修订和实施等保三级安全管理制度；（2）组织开展安全培训和宣传教育工作；（3）监督、检查信息系统安全等级保护工作的落实情况；（4）组织安全评估、整改和验收工作。

2. 技术保障部门：（1）负责信息系统安全等级保护的技术支持；（2）组织开展安全检查、漏洞扫描和风险评估等工作；（3）组织应急响应，处理信息系统安全事件；（4）定期对信息系统进行安全加固和升级。

3. 运维管理部门：（1）负责信息系统安全等级保护的日常运维管理；（2）确保信息系统安全稳定运行；（3）对信息系统进行定期巡检、备份和恢复；（4）及时处理系统故障和异常情况。

4. 法规事务部门：（1）负责信息系统安全等级保护的法律法规咨询；（2）组织开展合规审查和纠纷处理工作；（3）提供法律支持和协助。

信息系统安全等级保护基本要求1 三级基本要求 (3)1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择（G3） (3)1.1.1.2 物理访问控制（G3） (3)1.1.1.3 防盗窃和防破坏（G3） (3)1.1.1.4 防雷击（G3） (3)1.1.1.5 防火（G3） (3)1.1.1.6 防水和防潮（G3） (4)1.1.1.7 防静电（G3） (4)1.1.1.8 温湿度控制（G3） (4)1.1.1.9 电力供应（A3） (4)1.1.1.10 电磁防护（S3） (4)1.1.2 网络安全 (4)1.1.2.1 结构安全（G3） (4)1.1.2.2 访问控制（G3） (4)1.1.2.3 安全审计（G3） (5)1.1.2.4 边界完整性检查（S3） (5)1.1.2.5 入侵防范（G3） (5)1.1.2.6 恶意代码防范（G3） (5)1.1.2.7 网络设备防护（G3） (5)1.1.3 主机安全 (6)1.1.3.1 身份鉴别（S3） (6)1.1.3.2 访问控制（S3） (6)1.1.3.3 安全审计（G3） (6)1.1.3.4 剩余信息保护（S3） (7)1.1.3.5 入侵防范（G3） (7)1.1.3.6 恶意代码防范（G3） (7)1.1.3.7 资源控制（A3） (7)1.1.4 应用安全 (7)1.1.4.1 身份鉴别（S3） (7)1.1.4.2 访问控制（S3） (8)1.1.4.3 安全审计（G3） (8)1.1.4.4 剩余信息保护（S3） (8)1.1.4.5 通信完整性（S3） (8)1.1.4.6 通信保密性（S3） (8)1.1.4.7 抗抵赖（G3） (8)1.1.4.8 软件容错（A3） (8)1.1.4.9 资源控制（A3） (8)1.1.5 数据安全及备份恢复 (9)1.1.5.1 数据完整性（S3） (9)1.1.5.2 数据保密性（S3） (9)1.1.5.3 备份和恢复（A3） (9)1.2 管理要求 (9)1.2.1 安全管理制度 (9)1.2.1.1 管理制度（G3） (9)1.2.1.2 制定和发布（G3） (10)1.2.1.3 评审和修订（G3） (10)1.2.2 安全管理机构 (10)1.2.2.1 岗位设置（G3） (10)1.2.2.2 人员配备（G3） (10)1.2.2.3 授权和审批（G3） (10)1.2.2.4 沟通和合作（G3） (10)1.2.2.5 审核和检查（G3） (11)1.2.3 人员安全管理 (11)1.2.3.1 人员录用（G3） (11)1.2.3.2 人员离岗（G3） (11)1.2.3.3 人员考核（G3） (11)1.2.3.4 安全意识教育和培训（G3） (11)1.2.3.5 外部人员访问管理（G3） (12)1.2.4 系统建设管理 (12)1.2.4.1 系统定级（G3） (12)1.2.4.2 安全方案设计（G3） (12)1.2.4.3 产品采购和使用（G3） (12)1.2.4.4 自行软件开发（G3） (13)1.2.4.5 外包软件开发（G3） (13)1.2.4.6 工程实施（G3） (13)1.2.4.7 测试验收（G3） (13)1.2.4.8 系统交付（G3） (13)1.2.4.9 系统备案（G3） (14)1.2.4.10 等级测评（G3） (14)1.2.4.11 安全服务商选择（G3） (14)1.2.5 系统运维管理 (14)1.2.5.1 环境管理（G3） (14)1.2.5.2 资产管理（G3） (14)1.2.5.3 介质管理（G3） (15)1.2.5.4 设备管理（G3） (15)1.2.5.5 监控管理和安全管理中心（G3） (15)1.2.5.6 网络安全管理（G3） (15)1.2.5.7 系统安全管理（G3） (16)1.2.5.8 恶意代码防范管理（G3） (16)1.2.5.9 密码管理（G3） (16)1.2.5.10 变更管理（G3） (16)1.2.5.11 备份与恢复管理（G3） (17)1.2.5.12 安全事件处置（G3） (17)1.2.5.13 应急预案管理（G3） (17)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

信息系统安全等级保护三级基本要求目次前言 (III)引言 (IV)信息系统安全等级保护基本要求 (1)1 范围 (1)2 规范性引用文件 (1)3 信息系统安全等级保护概述 (1)3.1 信息系统安全保护等级 (1)3.2 不同等级的安全保护能力 (1)3.3 基本技术要求和基本管理要求 (1)3.4 基本技术要求的三种类型 (2)4 第三级基本要求 (2)4.1 技术要求 (2)4.1.1 物理安全 (2)4.1.1.1 物理位置的选择（G3） (2)4.1.1.2 物理访问控制（G3） (2)4.1.1.3 防盗窃和防破坏（G3） (2)4.1.1.4 防雷击（G3） (3)4.1.1.5 防火（G3） (3)4.1.1.6 防水和防潮（G3） (3)4.1.1.7 防静电（G3） (3)4.1.1.8 温湿度控制（G3） (3)4.1.1.9 电力供应（A3） (3)4.1.1.10 电磁防护（S3） (3)4.1.2 网络安全 (3)4.1.2.1 结构安全（G3） (4)4.1.2.2 访问控制（G3） (4)4.1.2.3 安全审计（G3） (4)4.1.2.4 边界完整性检查（S3） (4)4.1.2.5 入侵防范（G3） (4)4.1.2.6 恶意代码防范（G3） (5)4.1.2.7 网络设备防护（G3） (5)4.1.3 主机安全 (5)4.1.3.1 身份鉴别（S3） (5)4.1.3.2 访问控制（S3） (5)4.1.3.3 安全审计（G3） (6)4.1.3.4 剩余信息保护（S3） (6)4.1.3.5 入侵防范（G3） (6)4.1.3.6 恶意代码防范（G3） (6)4.1.3.7 资源控制（A3） (6)4.1.4 应用安全 (6)4.1.4.1 身份鉴别（S3） (6)4.1.4.2 访问控制（S3） (7)4.1.4.3 安全审计（G3） (7)4.1.4.4 剩余信息保护（S3） (7)4.1.4.5 通信完整性（S3） (7)4.1.4.6 通信保密性（S3） (7)4.1.4.7 抗抵赖（G3） (7)4.1.4.8 软件容错（A3） (7)4.1.4.9 资源控制（A3） (8)4.1.5 数据安全及备份恢复 (8)4.1.5.1 数据完整性（S3） (8)4.1.5.2 数据保密性（S3） (8)4.1.5.3 备份和恢复（A3） (8)4.2 管理要求 (8)4.2.1 安全管理制度 (8)4.2.1.1 管理制度（G3） (8)4.2.1.2 制定和发布（G3） (8)4.2.1.3 评审和修订（G3） (9)4.2.2 安全管理机构 (9)4.2.2.1 岗位设置（G3） (9)4.2.2.2 人员配备（G3） (9)4.2.2.3 授权和审批（G3） (9)4.2.2.4 沟通和合作（G3） (9)4.2.2.5 审核和检查（G3） (10)4.2.3 人员安全管理 (10)4.2.3.1 人员录用（G3） (10)4.2.3.2 人员离岗（G3） (10)4.2.3.3 人员考核（G3） (10)4.2.3.4 安全意识教育和培训（G3） (10)4.2.3.5 外部人员访问管理（G3） (10)4.2.4 系统建设管理 (11)4.2.4.1 系统定级（G3） (11)4.2.4.2 安全方案设计（G3） (11)4.2.4.3 产品采购和使用（G3） (11)4.2.4.4 自行软件开发（G3） (11)4.2.4.5 外包软件开发（G3） (11)4.2.4.6 工程实施（G3） (12)4.2.4.7 测试验收（G3） (12)4.2.4.8 系统交付（G3） (12)4.2.4.9 系统备案（G3） (12)4.2.4.10 等级测评（G3） (12)4.2.4.11 安全服务商选择（G3） (12)4.2.5 系统运维管理 (13)4.2.5.1 环境管理（G3） (13)4.2.5.2 资产管理（G3） (13)4.2.5.3 介质管理（G3） (13)4.2.5.4 设备管理（G3） (13)4.2.5.5 监控管理和安全管理中心（G3） (14)4.2.5.6 网络安全管理（G3） (14)4.2.5.7 系统安全管理（G3） (14)4.2.5.8 恶意代码防范管理（G3） (15)4.2.5.9 密码管理（G3） (15)4.2.5.10 变更管理（G3） (15)4.2.5.11 备份与恢复管理（G3） (15)4.2.5.12 安全事件处置（G3） (15)4.2.5.13 应急预案管理（G3） (16)参考文献 (17)前言本标准的附录A和附录B是规范性附录。

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择（G3） (6)1.1.1.2 物理访问控制（G3） (6)1.1.1.3 防盗窃和防破坏（G3） (7)1.1.1.4 防雷击（G3） (7)1.1.1.5 防火（G3） (8)1.1.1.6 防水和防潮（G3） (8)1.1.1.7 防静电（G3） (8)1.1.1.8 温湿度控制（G3） (9)1.1.1.9 电力供应（A3） (9)1.1.1.10 电磁防护（S3） (9)1.1.2 网络安全 (10)1.1.2.1 结构安全（G3） (10)1.1.2.2 访问控制（G3） (10)1.1.2.3 安全审计（G3） (11)1.1.2.4 边界完整性检查（S3） (12)1.1.2.5 入侵防范（G3） (12)1.1.2.6 恶意代码防范（G3） (13)1.1.2.7 网络设备防护（G3） (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别（S3） (14)1.1.3.2 访问控制（S3） (14)1.1.3.3 安全审计（G3） (15)1.1.3.4 剩余信息保护（S3） (16)1.1.3.5 入侵防范（G3） (16)1.1.3.6 恶意代码防范（G3） (17)1.1.3.7 资源控制（A3） (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别（S3） (18)1.1.4.2 访问控制（S3） (18)1.1.4.3 安全审计（G3） (19)1.1.4.4 剩余信息保护（S3） (20)1.1.4.5 通信完整性（S3） (20)1.1.4.6 通信保密性（S3） (20)1.1.4.7 抗抵赖（G3） (20)1.1.4.8 软件容错（A3） (21)1.1.4.9 资源控制（A3） (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性（S3） (22)1.1.5.2 数据保密性（S3） (22)1.1.5.3 备份和恢复（A3） (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度（G3） (23)1.2.1.2 制定和发布（G3） (24)1.2.1.3 评审和修订（G3） (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置（G3） (25)1.2.2.2 人员配备（G3） (25)1.2.2.3 授权和审批（G3） (26)1.2.2.4 沟通和合作（G3） (26)1.2.2.5 审核和检查（G3） (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用（G3） (28)1.2.3.2 人员离岗（G3） (28)1.2.3.3 人员考核（G3） (29)1.2.3.4 安全意识教育和培训（G3） (29)1.2.3.5 外部人员访问管理（G3） (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级（G3） (30)1.2.4.2 安全方案设计（G3） (30)1.2.4.3 产品采购和使用（G3） (31)1.2.4.4 自行软件开发（G3） (32)1.2.4.5 外包软件开发（G3） (32)1.2.4.6 工程实施（G3） (33)1.2.4.7 测试验收（G3） (33)1.2.4.8 系统交付（G3） (34)1.2.4.9 系统备案（G3） (35)1.2.4.10 等级测评（G3） (35)1.2.4.11 安全服务商选择（G3） (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理（G3） (36)1.2.5.2 资产管理（G3） (37)1.2.5.3 介质管理（G3） (37)1.2.5.4 设备管理（G3） (38)1.2.5.5 监控管理和安全管理中心（G3）. 39 1.2.5.6 网络安全管理（G3） (40)1.2.5.7 系统安全管理（G3） (41)1.2.5.8 恶意代码防范管理（G3） (42)1.2.5.9 密码管理（G3） (43)1.2.5.10 变更管理（G3） (43)1.2.5.11 备份与恢复管理（G3） (43)1.2.5.12 安全事件处置（G3） (44)1.2.5.13 应急预案管理（G3） (45)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

三级等保清单摘要：一、三级等保制度的背景和意义二、三级等保清单的具体内容1.一级等保清单2.二级等保清单3.三级等保清单三、三级等保清单在实际应用中的作用四、企业如何应对三级等保制度的实施五、结论正文：一、三级等保制度的背景和意义随着互联网的迅速发展，信息安全问题日益突出。

为了加强我国信息系统安全保护，我国制定了一系列信息安全等级保护制度。

其中，三级等保制度是针对我国信息系统安全等级保护的一个重要措施。

该制度通过对信息系统进行等级划分，明确不同等级信息系统的安全保护要求，从而提高我国信息系统的安全防护能力。

二、三级等保清单的具体内容1.一级等保清单一级等保清单主要涉及国家关键信息基础设施、重要信息系统以及涉及国家利益的信息系统。

这类信息系统一旦受到破坏，可能对国家安全、公共安全、经济安全和社会稳定产生严重的影响。

2.二级等保清单二级等保清单包括涉及国家机关、金融机构、能源、交通、水利等重要行业和领域的重要信息系统。

这类信息系统在遭到破坏时，可能对公共安全、经济安全和社会稳定产生较大的影响。

3.三级等保清单三级等保清单包括一般企业和组织的信息系统。

这类信息系统在遭到破坏时，可能对企事业单位的正常运行和合法权益产生一定的影响。

三、三级等保清单在实际应用中的作用三级等保清单的制定和实施，有助于明确各类信息系统的安全保护要求，提高我国信息系统的安全防护能力。

此外，三级等保清单还有助于规范企事业单位的信息安全保护工作，降低信息安全风险，保障企事业单位的正常运行和合法权益。

四、企业如何应对三级等保制度的实施企业应根据自身信息系统的安全等级，对照三级等保清单，加强信息系统的安全保护措施。

具体包括：建立健全信息安全制度，完善信息安全技术防护体系，提高员工信息安全意识和技能，定期进行信息安全评估和风险评估等。

五、结论三级等保制度是我国信息安全等级保护制度的重要组成部分，对于提高我国信息系统的安全防护能力具有重要意义。

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择（G3） (6)1.1.1.2 物理访问控制（G3） (6)1.1.1.3 防盗窃和防破坏（G3） (7)1.1.1.4 防雷击（G3） (7)1.1.1.5 防火（G3） (8)1.1.1.6 防水和防潮（G3） (8)1.1.1.7 防静电（G3） (8)1.1.1.8 温湿度控制（G3） (9)1.1.1.9 电力供应（A3） (9)1.1.1.10 电磁防护（S3） (9)1.1.2 网络安全 (10)1.1.2.1 结构安全（G3） (10)1.1.2.2 访问控制（G3） (10)1.1.2.3 安全审计（G3） (11)1.1.2.4 边界完整性检查（S3） (12)1.1.2.5 入侵防范（G3） (12)1.1.2.6 恶意代码防范（G3） (13)1.1.2.7 网络设备防护（G3） (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别（S3） (14)1.1.3.2 访问控制（S3） (14)1.1.3.3 安全审计（G3） (15)1.1.3.4 剩余信息保护（S3） (16)1.1.3.5 入侵防范（G3） (16)1.1.3.6 恶意代码防范（G3） (17)1.1.3.7 资源控制（A3） (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别（S3） (18)1.1.4.2 访问控制（S3） (18)1.1.4.3 安全审计（G3） (19)1.1.4.4 剩余信息保护（S3） (20)1.1.4.5 通信完整性（S3） (20)1.1.4.6 通信保密性（S3） (20)1.1.4.7 抗抵赖（G3） (20)1.1.4.8 软件容错（A3） (21)1.1.4.9 资源控制（A3） (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性（S3） (22)1.1.5.2 数据保密性（S3） (22)1.1.5.3 备份和恢复（A3） (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度（G3） (23)1.2.1.2 制定和发布（G3） (24)1.2.1.3 评审和修订（G3） (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置（G3） (25)1.2.2.2 人员配备（G3） (25)1.2.2.3 授权和审批（G3） (26)1.2.2.4 沟通和合作（G3） (26)1.2.2.5 审核和检查（G3） (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用（G3） (28)1.2.3.2 人员离岗（G3） (28)1.2.3.3 人员考核（G3） (29)1.2.3.4 安全意识教育和培训（G3） (29)1.2.3.5 外部人员访问管理（G3） (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级（G3） (30)1.2.4.2 安全方案设计（G3） (30)1.2.4.3 产品采购和使用（G3） (31)1.2.4.4 自行软件开发（G3） (32)1.2.4.5 外包软件开发（G3） (32)1.2.4.6 工程实施（G3） (33)1.2.4.7 测试验收（G3） (33)1.2.4.8 系统交付（G3） (34)1.2.4.9 系统备案（G3） (35)1.2.4.10 等级测评（G3） (35)1.2.4.11 安全服务商选择（G3） (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理（G3） (36)1.2.5.2 资产管理（G3） (37)1.2.5.3 介质管理（G3） (37)1.2.5.4 设备管理（G3） (38)1.2.5.5 监控管理和安全管理中心（G3）. 39 1.2.5.6 网络安全管理（G3） (40)1.2.5.7 系统安全管理（G3） (41)1.2.5.8 恶意代码防范管理（G3） (42)1.2.5.9 密码管理（G3） (43)1.2.5.10 变更管理（G3） (43)1.2.5.11 备份与恢复管理（G3） (43)1.2.5.12 安全事件处置（G3） (44)1.2.5.13 应急预案管理（G3） (45)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

三级等保规章制度第一章总则第一条根据国家有关法律法规和标准要求，为了保护单位信息安全，维护国家信息基础设施安全，维护社会秩序，保障单位正常生产经营活动的进行，特制定本规章。

第二条本规章适用于单位信息系统安全等级保护（以下简称等保）工作，明确了组织机构、职责分工、管理制度、风险管理、运行监督、技术措施等内容。

第三条等保工作要贯彻“高度重视、全员参与、科学管理、持续改进”的原则，坚持“保护、通报、协作、教育”的工作思路，确保信息系统的安全性、完整性和可用性。

第四条单位信息系统等保工作应当以保护单位的核心技术、关键数据、重要设施为重点，制定相应的技术措施和管理制度，有效防范和应对信息安全威胁。

第五条等保工作必须将技术手段、管理手段和人员教育有机结合起来，形成系统的信息安全保障体系，切实提高信息系统安全等级保护水平。

第六条单位领导要高度重视信息系统等保工作，明确各级责任人员的职责、权限和工作要求，加强对等保工作的领导和指导。

第七条单位各部门要切实加强协作，形成工作合力，健全信息系统等保工作的机制，共同维护单位信息系统的安全。

第二章组织机构和职责分工第八条单位设立信息安全管理委员会，负责统一领导和协调单位的信息系统等保工作。

第九条信息安全管理委员会由单位领导任组长，成员包括信息技术部门主管、安全保密部门主管、法律法规部门主管等相关部门负责人。

第十条信息安全管理委员会应当根据需要设立技术委员会和管理委员会，分别负责技术和管理领域的等保工作。

第十一条信息技术部门应当设立信息安全保密管理岗位，负责信息系统的保护、安全审查和技术支持等工作。

第十二条安全保密部门应当设立保密工作领导小组，负责信息安全的保密管理和涉密信息的保护工作。

第十三条法律法规部门应当设立法律顾问工作组，负责法律事务和相关规章制度的制定和解释。

第十四条各部门要切实落实信息安全等保工作的职责，认真开展相关工作，确保信息系统的安全运行。

第十五条单位应当建立完善的信息安全知识教育体系，定期开展安全知识培训，提高员工信息安全意识和技能。

等保三级交付清单
在今天这个信息爆炸的时代，信息安全问题越来越受到人们的关注。

为了保护国家的信息安全，等保工作一直以来备受重视。

而等保三级工作的完成，意味着我国信息安全等级保护工作已经迈上了一个新的台阶。

为了确保信息安全，今天我们将为大家介绍等保三级交付清单。

等保三级工作由国家互联网信息办公室、国家保密局、国家公安机关联合开展，旨在进一步加强我国信息安全等级保护工作，提高信息安全保护水平，为党的十九大胜利召开、新时代我国网络安全和信息化事业发展提供有力保障。

那么，等保三级交付清单具体包括哪些内容呢？首先，我们要明确等保三级的工作要求，即网络安全等级保护，主要是针对涉密信息系统的安全保护工作。

等保三级工作共分为五个等级，分别为一级、二级、三级、四级和五级，其中一级为最高级别，五级为最低级别。

等保三级工作的开展，需要按照国家相关规定和标准进行。

根据等保三级的工作要求，我们需要制定相应的信息安全管理制度、安全技术规范和网络安全等级保护方案，确保信息安全。

在实际工作中，等保三级交付清单的实施，需要充分考虑信息系统的实际需求和安全风险，确保信息安全等级保护工作的有效开展。

同时，我们还要加强信息安全等级保护工作的监督和评估，及时发现和解决问题，为信息安全等级保护工作的持续开展提供有力保障。

总之，等保三级交付清单的实施，标志着我国信息安全等级保护工作进入了一个新的阶段。

我们要充分认识到等保三级工作的重要性，结合实际工作需要，全面推进等保三级工作的开展，确保信息安全。

同时，我们要加强宣传和教育，让更多的人了解等保三级工作，提高信息安全保护意识，共同为新时代我国网络安全和信息化事业发展贡献自己的力量。

信息系统安全等级保护基本要求1 三级基本要求..............................................................1.1 技术要求................................................................1.1.1 物理安全.............................................................. 物理位置的选择（G3）......................................................... 物理访问控制（G3）........................................................... 防盗窃和防破坏（G3）......................................................... 防雷击（G3）................................................................. 防火（G3）................................................................... 防水和防潮（G3）............................................................. 防静电（G3）................................................................. 温湿度控制（G3）............................................................. 电力供应（A3）............................................................... 电磁防护（S3）...............................................................1.1.2 网络安全.............................................................. 结构安全（G3）............................................................... 访问控制（G3）............................................................... 安全审计（G3）............................................................... 边界完整性检查（S3）......................................................... 入侵防范（G3）............................................................... 恶意代码防范（G3）........................................................... 网络设备防护（G3）...........................................................1.1.3 主机安全.............................................................. 身份鉴别（S3）............................................................... 访问控制（S3）............................................................... 安全审计（G3）............................................................... 剩余信息保护（S3）........................................................... 入侵防范（G3）............................................................... 恶意代码防范（G3）........................................................... 资源控制（A3）...............................................................1.1.4 应用安全.............................................................. 身份鉴别（S3）............................................................... 访问控制（S3）............................................................... 安全审计（G3）............................................................... 剩余信息保护（S3）........................................................... 通信完整性（S3）............................................................. 通信保密性（S3）............................................................. 抗抵赖（G3）................................................................. 软件容错（A3）............................................................... 资源控制（A3）...............................................................1.1.5 数据安全及备份恢复.................................................... 数据完整性（S3）.............................................................备份和恢复（A3）.............................................................1.2 管理要求................................................................1.2.1 安全管理制度.......................................................... 管理制度（G3）............................................................... 制定和发布（G3）............................................................. 评审和修订（G3）.............................................................1.2.2 安全管理机构.......................................................... 岗位设置（G3）............................................................... 人员配备（G3）............................................................... 授权和审批（G3）............................................................. 沟通和合作（G3）............................................................. 审核和检查（G3）.............................................................1.2.3 人员安全管理.......................................................... 人员录用（G3）............................................................... 人员离岗（G3）............................................................... 人员考核（G3）............................................................... 安全意识教育和培训（G3）..................................................... 外部人员访问管理（G3）.......................................................1.2.4 系统建设管理.......................................................... 系统定级（G3）............................................................... 安全方案设计（G3）........................................................... 产品采购和使用（G3）......................................................... 自行软件开发（G3）........................................................... 外包软件开发（G3）........................................................... 工程实施（G3）............................................................... 测试验收（G3）............................................................... 系统交付（G3）............................................................... 系统备案（G3）............................................................... 等级测评（G3）............................................................... 安全服务商选择（G3）.........................................................1.2.5 系统运维管理.......................................................... 环境管理（G3）............................................................... 资产管理（G3）............................................................... 介质管理（G3）............................................................... 设备管理（G3）............................................................... 监控管理和安全管理中心（G3）................................................. 网络安全管理（G3）........................................................... 系统安全管理（G3）........................................................... 恶意代码防范管理（G3）....................................................... 密码管理（G3）............................................................... 变更管理（G3）............................................................... 备份与恢复管理（G3）......................................................... 安全事件处置（G3）...........................................................第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

三级等保清单【原创实用版】目录1.三级等保清单概述2.三级等保清单的具体内容3.三级等保清单的实施与应用4.三级等保清单的未来发展趋势正文【三级等保清单概述】三级等保清单，全称为国家信息安全等级保护三级安全建设要求清单，是我国信息安全领域的一项重要制度。

该清单旨在对信息系统进行等级保护，保障国家信息安全，维护国家利益和社会稳定。

【三级等保清单的具体内容】三级等保清单主要包括以下内容：1.安全管理方面：包括安全管理制度、安全管理组织、安全管理人员、安全培训等。

2.安全技术方面：包括物理安全、网络安全、主机安全、数据安全、应用安全等。

3.安全工程方面：包括安全需求分析、安全设计、安全测试、安全验收等。

4.安全运维方面：包括安全运维管理、安全事件管理、安全漏洞管理、安全备份恢复等。

【三级等保清单的实施与应用】在我国，三级等保清单的实施与应用主要体现在以下几个方面：1.对信息系统进行等级保护定级，明确信息系统的安全保护等级。

2.依据三级等保清单，制定相应的安全建设方案，进行安全建设。

3.对已完成安全建设的信息系统，进行安全评估和检查，确保其达到三级等保要求。

4.对未达到三级等保要求的信息系统，提出整改措施，督促其进行整改。

【三级等保清单的未来发展趋势】随着信息技术的不断发展，三级等保清单也将不断完善和升级，其未来发展趋势主要体现在以下几个方面：1.适应新技术的发展，将新的安全威胁和风险纳入三级等保清单。

2.加强对云计算、大数据、物联网等新兴领域的安全保护。

3.强化对个人信息和隐私的保护，提高数据安全水平。

4.推动国际交流与合作，积极参与全球信息安全治理。

总之，三级等保清单是我国信息安全领域的重要制度，对保障国家信息安全具有重要意义。

版本号: 1.0.0423 信息系统安全人员及培训管理规定第一章总则第一条为了深入规范我单位信息系统安全人员及培训旳管理工作, 根据《信息安全等级保护管理措施》、《信息系统安全管理规定》（GBT 20269-2023）和其他有关法律法规旳规定, 结合本单位实际, 特制定本规定。

第二条本规定合用于我单位信息系统安全人员及培训管理工作, 包括人员录取、人员离岗、人员考核与审查、教育和培训、第三方人员旳管理工作。

第三条我单位信息系统安全工作人员包括安全管理员、管理中心安全主管、技术管理人员、重要业务应用操作人员；其中技术管理人员属于关键岗位人员, 包括系统管理员、数据库管理员、网络管理员、系统开发人员和系统维护人员。

第二章人员录取第四条信息安全领导小组秘书长负责指导人事部门对安全工作人员旳录取工作。

应对拟录取人员进行身份、背景、专业资格和资质等方面旳审查, 并进行技能考核, 合格者需签订保密协议方可上岗。

第五条人员录取前旳审查原则为：具有基本旳专业技术水平, 接受过安全意识教育和培训, 可以掌握安全管理基本知识；对信息系统关键岗位旳人员还应具有很好旳思想品质；安全管理员应具有基本旳系统安全风险分析和评估能力。

第六条重要区域或部位旳安全管理员一般可从内部符合条件旳人员中选拔, 应具有认真负责旳工作态度、可以保守工作秘密。

第三章人员离岗第七条人事部门应及时把被解雇旳、退休旳、辞职旳或其他原因离开旳人员状况书面函告信息系统安全管理中心, 非紧急离开人员应提前2个工作日函告；管理中心接到函告后应立即停止其对信息系统旳所有访问权限、更改其使用旳超级顾客密码；应收回其所有有关证件、徽章、密钥、访问控制标识等, 并收回机构提供旳设备等。

第八条管理层和信息系统关键岗位人员调离岗位, 必须签订书面保密承诺书, 承诺其调离后对本来工作中波及信息旳保密规定；必须进行离岗安全审查, 在规定旳脱密期限后, 方可调离；必须经人事部门严格按照人事管理规定办理调离手续。

等级保护2.0要求所需设备清单等级保护的工作流程包括定级、备案、建设整改、等级测评、监督检查，核心思想在于建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

那么，等级保护需要哪些设备呢？本文整理了以下信息，以供参考，实际需求根据项目情况确定。

三级等保要求及所需设备三级等级保护指标项：物理访问控制(G3)d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

所需设备：电子门禁系统防盗窃和防破坏(G3)e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。

所需设备：监控报警系统、机房防盗报警系统防火(G3)a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；所需设备：火灾自动消防系统防水和防潮(G3)d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

所需设备：水敏感检测设备温湿度控制(G3)机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

所需设备：机房专用空调电力供应(A3)d)应建立备用供电系统所需设备：UPS或备用发电机结构安全(G3)b)应保证网络各个部分的带宽满足业务高峰期需要；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

所需设备：负载均衡访问控制(G3)a)应在网络边界部署访问控制设备，启用访问控制功能b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP 3等协议命令级的控制所需设备：防火墙(网站系统，需部署web应用防火墙、防篡改系统)边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断所需设备：准入准出设备入侵防范(G3)a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。