说明:本清单依据等保2.0国家标准(GB/T 22239-2019)编制,涵盖技术防护、安全管理、测评周期三大核心维度,明确各等级自查要点、常见问题及整改方向,可直接用于企事业单位等保合规自查、整改核对,配合专业等保测评机构开展工作,提升自查效率与合规准确性。
• 网络安全:部署基础防火墙,实现简单访问控制;远程访问采用普通VPN;无明显网络边界漏洞,未开放无用端口/服务。
• 主机与应用安全:完成系统基础加固,定期扫描漏洞;部署基础病毒防护软件;账号口令符合基础复杂度要求,有登录失败简单处理机制。
• 数据安全:完成数据分类分级,核心数据加密存储;建立本地备份机制,定期进行异地备份;无明显数据泄露风险。
• 审计与监控:留存基础操作日志,日志留存时长≥3个月;可实现简单事件追溯,无日志丢失、篡改情况。
• 物理安全:机房有基础门禁、监控;供配电、消防设施正常,温湿度控制在合理范围。
• 组织人员:配备兼职安全管理员;开展基础安全培训,相关人员了解基本安全规范。
• 制度流程:制定简易安全管理制度,覆盖基础运维、设备管理、事件处置等核心环节。
• 风险与应急:开展年度风险评估;制定基础应急预案,完成简单应急演练。
• 权限管理:明确基础权限划分,无明显权限滥用、越权情况。
测评类型 | 周期要求 | 自查要求 |
第三方测评 | 每2年1次 | 测评前完成全面自查,整改已知问题 |
单位自查 | 每年1次 | 留存自查记录,形成简单自查报告 |
• 口令复杂度不达标(如未包含大小写、特殊字符),登录失败无锁定机制。
• 漏洞未及时扫描、修复,尤其是中高危漏洞长期未处理。
• 日志留存时长不足3个月,或日志未集中存储、无法追溯。
• 未开展年度风险评估,应急预案不完善、未进行应急演练。
• 机房监控、消防设施故障,未定期检查维护。
• 网络安全:划分清晰安全域,实现边界隔离;部署WAF、IPS、堡垒机;远程访问强制启用双因素认证;关键链路加密传输;网络行为全审计。
• 主机与应用安全:严格落实最小权限原则,实现“三员分立”(系统管理员、安全管理员、审计管理员);登录失败锁定(建议15分钟);防范SQL注入、跨站脚本、网页篡改等漏洞;定期开展代码安全审计、渗透测试。
• 数据安全:敏感数据全生命周期加密(存储、传输、使用);建立定期备份+异地灾备机制;故障15分钟内启动备份系统,完成数据恢复完整性验证;部署数据库审计,监控数据增删改查操作。
• 审计与监控:全流程日志集中存储,留存时长≥6个月;日志精确到每个操作指令,支持事件关联分析与追溯;无日志篡改、丢失情况。
• 物理安全:机房出入口有电子门禁+视频监控(留存≥90天);配备精密空调、UPS(续航≥30分钟)、气体灭火系统;防雷接地、电磁屏蔽符合要求。
• 组织人员:设立专职安全团队,强制落实“三员分立”;安全人员持证上岗,定期开展安全培训(每季度≥1次);开展人员背景审查,权限分级严格管控。
• 制度流程:建立完整安全管理体系,涵盖人员安全、运维管理、变更管理、介质管理、应急响应等所有环节;形成“预案-执行-复盘-整改”闭环管理;核心系统变更前需评估、演练,制定回滚方案。
• 风险与应急:每半年开展1次风险评估;制定专项应急预案,每年≥2次攻防演练(含社工、APT攻击场景);应急响应流程标准化,留存演练记录与复盘报告。
• 权限管理:实行RBAC角色权限管理,定期复核权限;离职人员当天注销账号、回收权限;第三方运维需签订保密协议,全程管控操作行为。
测评类型 | 周期要求 | 自查要求 |
第三方测评 | 每1年1次 | 测评前完成全面自查,形成自查报告,整改所有已知高、中风险项 |
单位自查 | 每季度1次 | 重点核查技术防护有效性、制度执行情况,留存自查记录 |
• 未落实“三员分立”,存在一人多岗(如系统管理员同时兼任审计管理员)情况。
• 远程访问未启用双因素认证,或堡垒机未全面覆盖运维操作,无全程审计记录。
• 敏感数据未加密存储/传输,未建立异地灾备,备份演练未定期开展。
• 日志留存时长不足6个月,或日志无法关联分析,无法追溯异常操作。
• 安全管理制度不完善,应急演练未留存记录,未进行复盘整改。
• 中高危漏洞修复不及时,修复率未达到100%,未形成漏洞闭环管理。
• 网络安全:实行物理隔离+逻辑隔离双重防护;部署全流量采集分析系统、蜜罐诱捕系统;采用国密算法(如SM4)加密链路;7×24小时流量监控,异常行为AI实时检测、自动阻断。
• 主机与应用安全:采用可信计算技术(硬件层面保障系统完整性);启用应用白名单+行为基线;高危漏洞0容忍(24小时内修复);开展全代码审计+深度渗透测试;实现实时漏洞监测与处置。
• 数据安全:核心数据采用国密算法强制加密;建立“两地三中心”容灾备份体系;实现实时数据同步,数据操作全链路不可抵赖;备份系统7×24小时可用性验证,定期开展灾难恢复演练。
• 审计与监控:核心日志永久留存,普通日志留存≥12个月;实现实时审计+离线分析,建立行为基线建模;异常操作自动阻断,审计记录不可篡改、不可删除。
• 物理安全:机房采用最高级防护标准,实现多重门禁、全程无死角监控;配备双路供电+备用发电机,UPS续航满足核心系统长时间运行;电磁屏蔽、防雷接地达到国家级标准。
• 组织人员:设立省级以上安全管理中心,配备7×24小时专业安全值守团队;安全人员持国家级资质(如CISP);所有操作向监管部门报备;定期参与国家层面攻防演练。
• 制度流程:遵循强制安全管理制度+国家标准双重约束;制度执行情况实现自动化监控;重大系统变更、安全策略调整需经监管部门审批;建立完善的安全责任追溯机制。
• 风险与应急:每季度开展1次风险评估,实现实时风险监测;制定国家级专项应急预案;每月开展1次攻防演练;应急响应15分钟内启动,2小时内上报国家级监管机构;留存完整的应急处置记录与复盘报告。
• 权限管理:实行最严格的权限分级管控,核心权限需多人审批;所有权限操作全程审计、不可抵赖;第三方运维人员需经过严格审核,全程专人陪同、管控。
测评类型 | 周期要求 | 自查要求 |
第三方测评 | 每半年1次 | 测评前完成全面自查,联合专业等保测评机构开展预测评,确保所有风险项闭环 |
单位自查 | 每月1次 | 全面核查技术防护、管理体系运行情况,形成详细自查报告,上报监管部门 |
• 未采用国密算法加密核心数据与通信链路,未落实可信计算技术。
• 未建立“两地三中心”容灾备份体系,备份系统可用性未达到7×24小时要求。
• 核心日志未实现永久留存,审计记录存在篡改、删除风险。
• 未配备7×24小时安全值守团队,应急响应启动不及时,未按要求上报监管部门。
• 重大系统变更、安全策略调整未经监管部门审批,无相关备案记录。
• 高危漏洞修复不及时,未实现0容忍,未建立实时漏洞监测机制。
• 本清单为核心自查要点,具体自查需严格对标GB/T 22239-2019国家标准,可结合专业等保测评机构的指导补充完善。
• 自查过程中发现的问题,需明确整改责任人、整改时限,形成整改闭环,留存整改记录,为第三方测评、监管检查提供依据。
• 建议定期联合具备法定资质的等保测评机构开展预测评,精准识别风险隐患,确保合规达标。
