江蘇 GB/T 22239 信息安全等級保護(hù)申請流程及要求全解

一、信息安全等級保護(hù)概述

二、申請流程

（一）確定信息系統(tǒng)安全等級

1. 自主評估：組織首先需要依據(jù)信息系統(tǒng)的重要性、所處理信息的敏感程度以及一旦遭受破壞可能產(chǎn)生的危害程度等因素，參照 GB/T 22239 標(biāo)準(zhǔn)中關(guān)于不同等級的界定，對自身信息系統(tǒng)進(jìn)行初步的安全等級評估。例如，涉及大量公民個人敏感信息且業(yè)務(wù)對社會穩(wěn)定有較大影響的系統(tǒng)可能被確定為較高等級。
2. 專家評審（如有需要）：對于一些難以確定等級或者較為復(fù)雜的信息系統(tǒng)，可以邀請行業(yè)內(nèi)的信息安全專家進(jìn)行評審，專家將根據(jù)系統(tǒng)的詳細(xì)情況，從技術(shù)架構(gòu)、數(shù)據(jù)流向、業(yè)務(wù)流程等多方面進(jìn)行綜合分析，給出專業(yè)的等級建議。

（二）備案材料準(zhǔn)備

1. 備案表填寫：按照江蘇當(dāng)?shù)毓矙C(jī)關(guān)規(guī)定的格式，填寫《信息系統(tǒng)安全等級保護(hù)備案表》，詳細(xì)準(zhǔn)確地填寫信息系統(tǒng)的名稱、類型、承載業(yè)務(wù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、安全責(zé)任人等基本信息。
2. 輔助材料收集整理：包括信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D，清晰展示系統(tǒng)內(nèi)各設(shè)備的連接關(guān)系和網(wǎng)絡(luò)架構(gòu)；系統(tǒng)安全管理制度文檔，如人員安全管理、訪問控制策略、數(shù)據(jù)備份與恢復(fù)制度等；系統(tǒng)安全防護(hù)設(shè)施清單，如防火墻、入侵檢測系統(tǒng)、加密設(shè)備等的型號、配置和部署情況。

（三）提交備案申請

（四）審核與反饋

1. 材料審核：公安機(jī)關(guān)審核人員會仔細(xì)審查備案材料，檢查信息系統(tǒng)等級確定是否合理、備案表填寫是否規(guī)范、輔助材料是否齊全且真實(shí)有效等。如發(fā)現(xiàn)材料存在問題或不完整，會通過電話、郵件或政務(wù)平臺通知申請單位補(bǔ)充或修正材料。
2. 現(xiàn)場核查（部分情況）：對于一些關(guān)鍵信息系統(tǒng)或備案材料存在疑問的情況，公安機(jī)關(guān)可能會安排工作人員進(jìn)行現(xiàn)場核查。核查內(nèi)容包括信息系統(tǒng)的實(shí)際運(yùn)行環(huán)境、安全防護(hù)設(shè)施的部署和運(yùn)行狀態(tài)、安全管理制度的執(zhí)行情況等。申請單位需積極配合現(xiàn)場核查工作，提供必要的技術(shù)支持和人員協(xié)助。

（五）備案成功與后續(xù)工作

1. 備案編號發(fā)放：若備案申請通過審核，公安機(jī)關(guān)將為信息系統(tǒng)頒發(fā)信息安全等級保護(hù)備案編號，這標(biāo)志著該系統(tǒng)正式完成備案。
2. 定期測評要求：根據(jù)等級保護(hù)要求，備案成功的信息系統(tǒng)需定期開展等級測評工作，一般二級系統(tǒng)每兩年至少進(jìn)行一次測評，三級系統(tǒng)每年至少進(jìn)行一次測評。測評工作需委托具有資質(zhì)的測評機(jī)構(gòu)進(jìn)行，測評機(jī)構(gòu)將依據(jù) GB/T 22239 標(biāo)準(zhǔn)對信息系統(tǒng)的安全防護(hù)能力進(jìn)行全面檢測和評估，并出具測評報告。

三、申請要求

（一）技術(shù)要求

1. 物理安全：信息系統(tǒng)所在機(jī)房應(yīng)具備完善的物理訪問控制措施，如門禁系統(tǒng)、監(jiān)控設(shè)備等，防止非法人員進(jìn)入機(jī)房；機(jī)房的電力供應(yīng)應(yīng)穩(wěn)定可靠，配備不間斷電源（UPS）和備用發(fā)電機(jī)，以應(yīng)對電力故障；同時，機(jī)房的溫濕度、防火、防水等環(huán)境條件也應(yīng)符合相關(guān)標(biāo)準(zhǔn)要求。
2. 網(wǎng)絡(luò)安全：需部署防火墻、入侵檢測 / 防御系統(tǒng)（IDS/IPS）等網(wǎng)絡(luò)安全設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和過濾，防止外部網(wǎng)絡(luò)攻擊；劃分不同安全區(qū)域，實(shí)施嚴(yán)格的訪問控制策略，限制不同區(qū)域之間的網(wǎng)絡(luò)訪問；采用虛擬專用網(wǎng)絡(luò)（VPN）等技術(shù)保障遠(yuǎn)程訪問的安全性。
3. 主機(jī)安全：對服務(wù)器、終端等主機(jī)設(shè)備進(jìn)行安全加固，包括安裝最新的操作系統(tǒng)補(bǔ)丁、設(shè)置強(qiáng)密碼策略、禁用不必要的服務(wù)和端口等；安裝防病毒軟件和主機(jī)入侵檢測系統(tǒng)，實(shí)時監(jiān)測和防范病毒、木馬等惡意軟件的入侵。
4. 應(yīng)用安全：應(yīng)用程序開發(fā)過程應(yīng)遵循安全開發(fā)規(guī)范，進(jìn)行代碼安全審計(jì)和漏洞掃描，及時發(fā)現(xiàn)和修復(fù)安全漏洞；采用身份認(rèn)證、授權(quán)管理、數(shù)據(jù)加密等技術(shù)手段，保障應(yīng)用系統(tǒng)的用戶身份真實(shí)性、訪問權(quán)限合理性以及數(shù)據(jù)傳輸和存儲的保密性。
5. 數(shù)據(jù)安全：建立完善的數(shù)據(jù)備份與恢復(fù)機(jī)制，定期對重要數(shù)據(jù)進(jìn)行備份，并將備份數(shù)據(jù)存儲在安全可靠的位置；采用數(shù)據(jù)加密技術(shù)對敏感數(shù)據(jù)進(jìn)行加密存儲和傳輸，確保數(shù)據(jù)在整個生命周期內(nèi)的安全性。

（二）管理要求

1. 安全管理制度：建立健全信息安全管理制度體系，包括人員安全管理、設(shè)備安全管理、數(shù)據(jù)安全管理、應(yīng)急響應(yīng)管理等制度，明確各部門和人員在信息安全工作中的職責(zé)和權(quán)限，確保信息安全工作有章可循。
2. 人員安全管理：對涉及信息系統(tǒng)操作和管理的人員進(jìn)行背景審查和安全培訓(xùn)，提高人員的安全意識和操作技能；制定人員離崗離職管理流程，及時收回離職人員的系統(tǒng)訪問權(quán)限，防止因人員變動帶來的安全風(fēng)險。
3. 安全運(yùn)維管理：建立日常安全運(yùn)維工作流程，包括安全設(shè)備的監(jiān)控與維護(hù)、系統(tǒng)漏洞的監(jiān)測與修復(fù)、安全事件的日志記錄與分析等；定期開展安全檢查和風(fēng)險評估工作，及時發(fā)現(xiàn)和解決信息系統(tǒng)存在的安全隱患。
4. 應(yīng)急響應(yīng)管理：制定完善的信息安全事件應(yīng)急響應(yīng)預(yù)案，明確應(yīng)急響應(yīng)流程、責(zé)任分工和處置措施；定期組織應(yīng)急演練，提高應(yīng)對信息安全突發(fā)事件的能力，確保在安全事件發(fā)生時能夠快速響應(yīng)、有效處置，最大限度降低損失。