北京 GB/T 22239 信息安全等級(jí)保護(hù)申請(qǐng)全攻略：條件與材料詳解

一、申請(qǐng)條件

（一）主體合法性與運(yùn)營(yíng)基礎(chǔ)

1. 合法登記注冊(cè)：在北京申請(qǐng)等保的主體，無論是企業(yè)、事業(yè)單位或是政府部門，必須在北京市依法完成登記注冊(cè)手續(xù)，持有有效的營(yíng)業(yè)執(zhí)照、事業(yè)單位法人證書等法定身份證明文件，確保具備合法開展業(yè)務(wù)、運(yùn)營(yíng)信息系統(tǒng)的資格。例如，一家北京的科技創(chuàng)業(yè)公司，要先取得工商部門核發(fā)的營(yíng)業(yè)執(zhí)照，明確經(jīng)營(yíng)范圍涵蓋其信息系統(tǒng)所支撐業(yè)務(wù)領(lǐng)域，才符合基礎(chǔ)身份要求。
2. 穩(wěn)定運(yùn)營(yíng)環(huán)境：信息系統(tǒng)需穩(wěn)定運(yùn)行一段時(shí)間，通常建議連續(xù)運(yùn)行三個(gè)月及以上，以此證明系統(tǒng)架構(gòu)、功能模塊、運(yùn)維流程經(jīng)實(shí)踐檢驗(yàn)具備基本穩(wěn)定性，可承受常規(guī)業(yè)務(wù)壓力與外部交互，能有效采集評(píng)估周期內(nèi)系統(tǒng)運(yùn)行數(shù)據(jù)用于等保測(cè)評(píng)參考。像大型金融機(jī)構(gòu)北京分部的網(wǎng)上交易系統(tǒng)，在申請(qǐng)等保前，歷經(jīng)多輪業(yè)務(wù)高峰考驗(yàn)，系統(tǒng)故障率控制在極低水平，契合穩(wěn)定運(yùn)營(yíng)前提。

（二）系統(tǒng)特性與安全架構(gòu)

1. 明確系統(tǒng)邊界與定級(jí)：依據(jù)信息系統(tǒng)承載業(yè)務(wù)類型、處理數(shù)據(jù)敏感程度、受破壞后影響范圍及程度，精準(zhǔn)界定所屬等保級(jí)別（從一級(jí)至五級(jí)，北京常見為二、三級(jí)），清晰劃分系統(tǒng)內(nèi)部組件、外部接口、網(wǎng)絡(luò)拓?fù)涞冗吔?，梳理信息流走向。例如，北京市屬醫(yī)院的患者電子病歷系統(tǒng)，因涉及大量個(gè)人健康隱私信息，一旦泄露會(huì)嚴(yán)重?fù)p害患者權(quán)益、影響醫(yī)療秩序，往往定位為三級(jí)等保系統(tǒng)，其與外部醫(yī)保系統(tǒng)、第三方醫(yī)療科研平臺(tái)的數(shù)據(jù)交互接口都需嚴(yán)格界定管控。
2. 基礎(chǔ)安全防護(hù)就位：在申請(qǐng)前，系統(tǒng)需部署涵蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全層面的基礎(chǔ)防護(hù)措施。諸如機(jī)房配備門禁、消防、UPS 不間斷電源保障物理環(huán)境安全；網(wǎng)絡(luò)邊界部署防火墻、入侵檢測(cè)防御系統(tǒng)（IDS/IPS）阻斷外部非法訪問；服務(wù)器安裝正版殺毒軟件、定期更新補(bǔ)丁強(qiáng)化主機(jī)免疫力；應(yīng)用層實(shí)施身份認(rèn)證、訪問控制策略，對(duì)數(shù)據(jù)加密存儲(chǔ)、傳輸防范泄露篡改。

二、申請(qǐng)材料

（一）基礎(chǔ)資質(zhì)類

1. 單位證照副本復(fù)印件：提供最新且在有效期內(nèi)的營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證、稅務(wù)登記證（“三證合一” 后提供統(tǒng)一社會(huì)信用代碼證即可），加蓋單位公章，清晰展示單位名稱、法定代表人、注冊(cè)地址、經(jīng)營(yíng)范圍等關(guān)鍵登記信息，證明主體合法存續(xù)與運(yùn)營(yíng)身份。
2. 法定代表人身份證明文件：法定代表人身份證正、反面復(fù)印件，由本人簽字并加蓋單位公章，確認(rèn)申請(qǐng)行為獲得法人授權(quán)與認(rèn)可，涉及特殊授權(quán)辦理的，需額外附具授權(quán)委托書原件，明確受托人權(quán)限與期限。

（二）系統(tǒng)詳情類

1. 信息系統(tǒng)備案表：按北京市等保主管部門格式規(guī)范填寫，詳述系統(tǒng)名稱、域名、IP 地址段、業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)拓?fù)浼軜?gòu)、系統(tǒng)上線時(shí)間、用戶規(guī)模等核心要素，精準(zhǔn)反映系統(tǒng)全貌，同一單位多個(gè)信息系統(tǒng)需分別填報(bào)，各自獨(dú)立成冊(cè)。
2. 系統(tǒng)定級(jí)報(bào)告：報(bào)告依據(jù) GB/T 22239 定級(jí)標(biāo)準(zhǔn)，深入分析信息系統(tǒng)業(yè)務(wù)職能、數(shù)據(jù)資產(chǎn)價(jià)值、安全威脅影響，嚴(yán)謹(jǐn)論證所定級(jí)別合理性，涵蓋系統(tǒng)描述、定級(jí)依據(jù)、安全保護(hù)等級(jí)確定過程等章節(jié)，經(jīng)單位內(nèi)部專家評(píng)審、蓋章確認(rèn)，體現(xiàn)定級(jí)專業(yè)性與審慎性。

（三）安全管理制度類

1. 信息安全管理規(guī)章制度集：含人員安全管理、設(shè)備運(yùn)維管理、數(shù)據(jù)管理、應(yīng)急處置預(yù)案等系列制度文檔。人員管理規(guī)定涵蓋人員錄用、離崗、權(quán)限審批流程；設(shè)備運(yùn)維明確巡檢、故障報(bào)修、配置變更規(guī)范；數(shù)據(jù)管理聚焦分類分級(jí)、存儲(chǔ)備份、銷毀流程；應(yīng)急處置預(yù)案針對(duì)網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等場(chǎng)景制定響應(yīng)流程、責(zé)任分工，各制度裝訂成冊(cè)并在單位內(nèi)部宣貫執(zhí)行記錄。
2. 系統(tǒng)運(yùn)維記錄文檔：近三個(gè)月服務(wù)器運(yùn)維日志、網(wǎng)絡(luò)設(shè)備配置變更記錄、應(yīng)用系統(tǒng)更新日志等，從日常運(yùn)維視角展現(xiàn)系統(tǒng)運(yùn)行穩(wěn)定性、安全防護(hù)措施動(dòng)態(tài)調(diào)整情況，輔助評(píng)估系統(tǒng)安全運(yùn)維水平，以紙質(zhì)或電子掃描件形式按日期整理成冊(cè)提交。