本文目录导读:

等保测评(信息安全等级保护测评)的准备过程,本质上是将你单位的安全管理制度、技术措施和日常运维记录进行系统化梳理和归档的过程,准备材料通常分为管理类和技术类两大部分。
以下是详细的材料准备清单和步骤指南,适用于等保2.0标准下的三级系统(二级系统可参考,要求略低)。
核心准备工作流程
- 定级备案(这是前提):
- 你需要在测评前完成系统的定级备案,拿到《信息系统安全等级保护备案证明》。
- 材料: 定级报告、备案表、专家评审意见(视当地要求)。
- 资产梳理:
明确被测评系统的网络拓扑、IP地址、服务器、中间件、数据库、应用软件清单。
- 差距分析:
对照等保2.0标准(GB/T 22239-2019),先自检或请测评机构做预评估,找出缺项。
具体准备材料清单
第一部分:安全管理制度(文档类)
这部分是评审专家最看重的“本子”,建议建立四级文档体系。
- 一级:总体安全策略
- 信息安全总体方针、总纲。
- 信息安全组织机构(如:网络安全领导小组任命书)。
- 二级:管理制度
- 人员安全: 录用、离职、安全培训、保密协议制度。
- 物理安全: 机房出入管理、环境安全制度。
- 网络安全: 网络设备巡检、配置变更、网络边界管理。
- 主机安全: 操作系统、数据库安全配置规范、补丁管理。
- 应用安全: 软件开发安全(SDL)、代码审查、上线测试流程。
- 数据安全: 数据分类分级、数据备份恢复、数据脱敏、数据销毁。
- 运维管理: 账号权限管理、日志审计、应急预案、外包运维管理。
- 三级:操作规程
- 各类设备(防火墙、交换机、服务器)的配置操作手册。
- WAF、IPS等安全设备的日常维护指南。
- 四级:记录表单
- 这是最容易被忽视但最重要的部分,需要提供近3-6个月的运行记录:
- 设备巡检记录表(每日/周/月)。
- 系统维护记录表(配置变更记录)。
- 账号权限审批记录(新增/删除用户申请单)。
- 备份恢复记录(备份日志、恢复演练记录)。
- 安全培训记录(签到表、照片、试卷)。
- 应急预案演练记录(演练计划、脚本、总结报告)。
- 来访登记表(机房进出记录)。
- 这是最容易被忽视但最重要的部分,需要提供近3-6个月的运行记录:
第二部分:技术安全措施(环境类)
测评机构会进行现场评测,需要提前配置好以下环境,并提供截图或配置文件:
- 物理环境(机房)
- 机房门禁、视频监控记录(需保存90天以上)。
- 温湿度、UPS、消防检测报告。
- 机柜、设备标签清晰,无尘。
- 网络架构
- 提供最新的网络拓扑图(与实际设备一致)。
- 防火墙:访问控制策略列表(白名单策略,最小权限)。
- IDS/IPS:已启用,且有攻击日志。
- 区域隔离:应用区、数据库区、外网区是否划分VLAN或防火墙隔离。
- 主机安全(服务器、虚拟机)
- 操作系统(Windows/Linux):禁用Guest、远端桌面、默认共享。
- 身份鉴别: 必须启用口令复杂度(8位以上,字母+数字+特殊字符)、登录失败锁定(如5次锁定10分钟)。
- 漏洞与补丁: 提供漏洞扫描报告,重要系统补丁已更新。
- 杀毒软件: 已安装并更新病毒库(服务器端)。
- 应用安全
- Web应用防火墙(WAF): 已启用SQL注入、XSS防护。
- 登录机制: 应用登录需有验证码或双因素认证。
- 口令策略: 应用系统初始密码必须强制修改,无弱口令。
- 审计日志: 应用系统需记录用户操作日志(登录、增删改查)。
- 数据安全
- 备份策略: 核心数据每天全量备份,异地保存(或云备份)。
- 数据恢复: 准备好一次数据恢复演练的记录(测评可能会要求现场演示恢复)。
- 加密传输/存储: 敏感数据(如密码、身份证)需加密存储,传输使用HTTPS。
第三部分:人员与机构材料
- 网络安全责任制文件(明确谁是一把手、谁是直接责任人)。
- 信息安全员任命书及岗位职责。
- 第三方服务商(如云服务商、维保商)的安全资质、保密协议。
最容易踩坑的几点提醒
- “制度文件”与“实际执行”必须一致。
制度里写“每天检查日志”,但拿不出当天的日志记录,会被扣分。
- 默认口令必须改。
服务器root密码、MySQL数据库密码、交换机/防火墙默认管理账号(admin/admin123),只要被发现一个,就是高风险项。
- 服务器不能有“闲杂服务”。
打开不必要的端口(如21端口FTP、23端口Telnet、445端口SMB)。
- 审计日志要开。
- 操作系统(Linux的auditd,Windows的安全日志)、数据库的审计功能必须开启,并且日志保存时间应≥6个月。
- 云平台情况:
- 如果系统部署在阿里云、腾讯云等,需索要云平台等保合规证明,公有云上通常遵循“责任共担”模型,你需确保自己购买的云服务(如云堡垒机、云WAF、云审计)已开启。
推荐的时间安排
- 第1-2周: 定级备案完成,启动差距分析。
- 第3-4周: 整改技术漏洞(改弱口令、开日志、打补丁)。
- 第5-6周: 整理管理文档(制度、记录表单),补签运维表格。
- 第7周: 自查并模拟测评。
- 第8周: 正式迎接测评机构现场测评。
一句话总结
等保测评准备,核心不是“做得好”,而是“有证据证明你做得好”。
如果没有实际的日志、没有落地的制度、没有定期的培训记录,系统自动化扫描无论多安全,测评可能也过不了。
如果需要更具体的某一部分(如《网络安全管理制度》模板或《主机安全配置checklist》),可以进一步告诉我。