浙江 GB/T 22239 信息安全等級(jí)保護(hù)申請(qǐng)流程及要求全解

一、信息安全等級(jí)保護(hù)概述

二、浙江信息安全等級(jí)保護(hù)申請(qǐng)流程

（一）確定信息系統(tǒng)等級(jí)

（二）備案準(zhǔn)備

1. 整理備案材料
   • 信息系統(tǒng)備案表：需如實(shí)填寫系統(tǒng)的基本信息，包括名稱、域名、IP 地址范圍、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等。
   • 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告：詳細(xì)闡述系統(tǒng)定級(jí)的依據(jù)和過程，分析系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)。
   • 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)方案：針對(duì)系統(tǒng)的安全需求，提出相應(yīng)的技術(shù)和管理安全措施設(shè)計(jì)。
   • 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理制度文檔：涵蓋人員安全管理、訪問控制管理、數(shù)據(jù)備份與恢復(fù)管理等一系列制度文件。
   
   
2. 材料審核與修改
   對(duì)準(zhǔn)備好的備案材料進(jìn)行內(nèi)部審核，確保內(nèi)容完整、準(zhǔn)確、符合要求。如有問題及時(shí)修改完善。

（三）提交備案申請(qǐng)

（四）備案審核

（五）系統(tǒng)測(cè)評(píng)

1. 選擇測(cè)評(píng)機(jī)構(gòu)
   備案審核通過后，組織需選擇具備資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。浙江有多家專業(yè)的測(cè)評(píng)機(jī)構(gòu)可供選擇，可通過查詢相關(guān)資質(zhì)認(rèn)證信息確定合適的測(cè)評(píng)機(jī)構(gòu)。
2. 開展測(cè)評(píng)工作
   測(cè)評(píng)機(jī)構(gòu)依據(jù) GB/T 22239 標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的安全技術(shù)和安全管理狀況進(jìn)行全面測(cè)評(píng)，包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面。測(cè)評(píng)過程中會(huì)通過技術(shù)檢測(cè)工具和人工檢查相結(jié)合的方式進(jìn)行，并形成詳細(xì)的測(cè)評(píng)報(bào)告。

（六）整改與復(fù)查

（七）監(jiān)督檢查

三、浙江信息安全等級(jí)保護(hù)申請(qǐng)要求

（一）技術(shù)要求

1. 物理安全
   • 信息系統(tǒng)所在機(jī)房應(yīng)具備完善的物理訪問控制措施，如門禁系統(tǒng)、視頻監(jiān)控等，防止非法入侵。
   • 機(jī)房的電力供應(yīng)、溫濕度控制、防火防水等環(huán)境保障設(shè)施應(yīng)可靠運(yùn)行，確保系統(tǒng)硬件設(shè)備的穩(wěn)定運(yùn)行。
   
   
2. 網(wǎng)絡(luò)安全
   • 需部署防火墻、入侵檢測(cè) / 防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，對(duì)網(wǎng)絡(luò)邊界進(jìn)行有效防護(hù)，阻止外部非法網(wǎng)絡(luò)訪問和攻擊。
   • 對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和分析，及時(shí)發(fā)現(xiàn)異常流量并采取相應(yīng)措施。
   • 網(wǎng)絡(luò)設(shè)備應(yīng)進(jìn)行安全配置，如設(shè)置強(qiáng)密碼、定期更新系統(tǒng)補(bǔ)丁等。
   
   
3. 主機(jī)安全
   • 服務(wù)器和終端設(shè)備應(yīng)安裝正版操作系統(tǒng)和安全防護(hù)軟件，并及時(shí)更新病毒庫和系統(tǒng)補(bǔ)丁。
   • 對(duì)主機(jī)的用戶權(quán)限進(jìn)行嚴(yán)格管理，限制不必要的用戶訪問和操作權(quán)限。
   • 對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)，防止數(shù)據(jù)泄露。
   
   
4. 應(yīng)用安全
   • 應(yīng)用系統(tǒng)應(yīng)具備身份認(rèn)證、訪問控制、數(shù)據(jù)完整性和保密性等安全功能。
   • 對(duì)應(yīng)用程序進(jìn)行代碼安全審查，及時(shí)發(fā)現(xiàn)并修復(fù)代碼漏洞。
   • 建立應(yīng)用系統(tǒng)的安全應(yīng)急響應(yīng)機(jī)制，在遭受攻擊或出現(xiàn)故障時(shí)能夠快速恢復(fù)和處理。
   
   
5. 數(shù)據(jù)安全及備份恢復(fù)
   • 制定數(shù)據(jù)分類分級(jí)管理制度，對(duì)不同級(jí)別的數(shù)據(jù)采取不同的安全保護(hù)措施。
   • 建立數(shù)據(jù)備份與恢復(fù)策略，定期進(jìn)行數(shù)據(jù)備份，并對(duì)備份數(shù)據(jù)進(jìn)行妥善存儲(chǔ)和管理，確保在數(shù)據(jù)丟失或損壞時(shí)能夠快速恢復(fù)。
   
   

（二）管理要求

1. 安全管理制度
   • 建立健全信息安全管理制度體系，包括信息安全方針、策略、操作規(guī)程等，并定期進(jìn)行評(píng)審和修訂。
   • 明確各部門和人員在信息安全管理中的職責(zé)和權(quán)限，確保安全管理工作的有效落實(shí)。
   
   
2. 安全管理機(jī)構(gòu)
   • 設(shè)置專門的信息安全管理部門或崗位，配備足夠的安全管理人員，負(fù)責(zé)信息系統(tǒng)的安全管理工作。
   • 安全管理人員應(yīng)具備相應(yīng)的專業(yè)知識(shí)和技能，并定期接受培訓(xùn)和考核。
   
   
3. 人員安全管理
   • 對(duì)信息系統(tǒng)相關(guān)人員進(jìn)行背景審查和安全培訓(xùn)，提高人員的安全意識(shí)和操作技能。
   • 對(duì)離職人員的賬號(hào)和權(quán)限及時(shí)進(jìn)行注銷和回收，防止因人員變動(dòng)帶來的安全風(fēng)險(xiǎn)。
   
   
4. 系統(tǒng)建設(shè)管理
   • 在信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開發(fā)、測(cè)試和上線過程中，應(yīng)遵循信息安全相關(guān)標(biāo)準(zhǔn)和規(guī)范，將安全要求融入到系統(tǒng)建設(shè)的各個(gè)環(huán)節(jié)。
   • 對(duì)系統(tǒng)建設(shè)項(xiàng)目進(jìn)行安全評(píng)審和驗(yàn)收，確保系統(tǒng)建設(shè)符合安全要求。
   
   
5. 系統(tǒng)運(yùn)維管理
   • 建立信息系統(tǒng)運(yùn)維管理制度，規(guī)范系統(tǒng)日常運(yùn)維操作流程，如設(shè)備巡檢、故障處理、系統(tǒng)升級(jí)等。
   • 對(duì)運(yùn)維操作進(jìn)行日志記錄和審計(jì)，以便追溯和分析運(yùn)維過程中的安全事件。