湖南 GB/T 22239 信息安全等級保護(hù)申請全解析

一、申請條件

（一）確定信息系統(tǒng)的等級

（二）具備基本的信息安全管理體系

（三）信息系統(tǒng)具備相應(yīng)的安全技術(shù)措施

二、申請材料

（一）信息系統(tǒng)基本信息材料

1. 信息系統(tǒng)的詳細(xì)介紹文檔，包括系統(tǒng)的功能架構(gòu)、業(yè)務(wù)流程、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等內(nèi)容。這有助于評估機(jī)構(gòu)全面了解信息系統(tǒng)的整體情況，例如通過網(wǎng)絡(luò)拓?fù)鋱D可以清晰看到系統(tǒng)的網(wǎng)絡(luò)布局、服務(wù)器分布以及與外部網(wǎng)絡(luò)的連接方式等。
2. 系統(tǒng)的資產(chǎn)清單，涵蓋硬件設(shè)備（如服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件系統(tǒng)（操作系統(tǒng)、應(yīng)用程序等）以及數(shù)據(jù)資源的詳細(xì)列表，并注明其價值、重要性等級等信息。

（二）信息安全管理制度材料

1. 信息安全管理手冊，其中應(yīng)包含信息安全方針、目標(biāo)，信息安全組織架構(gòu)與人員職責(zé)，信息資產(chǎn)分類與管理辦法，安全事件應(yīng)急響應(yīng)流程等內(nèi)容。例如，應(yīng)急響應(yīng)流程要明確規(guī)定在遭受網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露等安全事件時，各部門和人員應(yīng)采取的具體行動步驟，包括如何報告事件、如何進(jìn)行初步的應(yīng)急處置以降低損失等。
2. 相關(guān)的信息安全管理流程文檔，如人員安全管理流程（包括人員招聘、離職時的信息安全處理流程）、訪問控制管理流程（如何審批用戶權(quán)限、如何定期審查權(quán)限等）、數(shù)據(jù)備份與恢復(fù)管理流程等。

（三）安全技術(shù)防護(hù)材料

1. 安全防護(hù)設(shè)備的清單及相關(guān)配置說明，如防火墻的型號、配置規(guī)則，IDS/IPS 的檢測策略設(shè)置等。這可以證明信息系統(tǒng)在技術(shù)層面具備了一定的安全防護(hù)能力，并且這些防護(hù)措施是經(jīng)過合理配置的。
2. 數(shù)據(jù)加密技術(shù)的應(yīng)用說明，包括加密算法、密鑰管理機(jī)制等內(nèi)容。例如，若采用了 AES 加密算法對重要數(shù)據(jù)進(jìn)行加密存儲，需要說明密鑰的生成、存儲、分發(fā)以及更新機(jī)制，以確保數(shù)據(jù)加密的安全性和有效性。

（四）其他輔助材料

1. 信息系統(tǒng)的運行維護(hù)記錄，包括日常的系統(tǒng)巡檢記錄、故障處理記錄、安全設(shè)備的更新維護(hù)記錄等。這些記錄可以反映出信息系統(tǒng)的運行穩(wěn)定性以及安全防護(hù)措施的持續(xù)有效性。
2. 信息安全等級保護(hù)測評委托書（若已委托測評機(jī)構(gòu)）或自行測評的相關(guān)報告（若自行開展測評）。測評報告應(yīng)詳細(xì)說明測評的方法、過程以及結(jié)果，包括信息系統(tǒng)在各個安全控制項上的符合情況，存在的安全隱患及整改建議等。