用戶等保自查表使用說明書

等保自查表使用說明一、適用范圍本“用戶自查說明”適用于指導信息系統(tǒng)安全等級之二級、三級、四級信息系統(tǒng)的用戶進行等保自查使用。二、引用文件下列文件中的有關說明、條款通過引用而成為本說明的一部分。引用文件其后的任何修改（不包含勘誤的內容）或修訂版本都不適用于本說明，但推薦參考使用其最新版本?！豆矙C關信息安全等級保護檢查工作規(guī)范（試行）》《信息安全技術信息系統(tǒng)安全等級保護測評要求》《信息系統(tǒng)安全等級保護基本要求》三、概述根據(jù)736號文件要求，公安機關對信息系統(tǒng)進行等保檢查時，檢查七個項目：（一）等級保護工作部署和組織實施情況；（二）信息系統(tǒng)安全等級保護定級備案情況；（三）信息安全設施建設情況和信息安全整改情況；（四）信息安全管理制度建立和落實情況；（五）信息安全產(chǎn)品選擇和使用情況；（六）聘請測評機構開展技術測評工作情況；（七）定期自查情況。第七項“定期自查情況”主要指：定期對信息系統(tǒng)安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。即對于用戶，自查應該是全方面的，應從管理要求和技術要求兩大類型，十個層面來完成，其標準依據(jù)是《信息系統(tǒng)安全等級保護基本要求》用戶開展等保信息系統(tǒng)自查工作是對自身信息系統(tǒng)安全威脅的全面評價和認識，是更好確保自身信息系統(tǒng)安全性的基本要求。四、基本概念基本要求提出了級、類、層、項、點，即從“保護等級”一一“要求類型”——“檢查層面”——“檢查項”到“檢查內容點”的五級逐級遞進、細分式安全概念。從而將復雜的安全概念逐層分解，反過來將繁多的實現(xiàn)細節(jié)遞歸總結。保護等級分為五級：即第一級、第二級、第三級、第四級、第五級；要求類型分為兩類：即“技術要求”和“管理要求”；檢查層面分為十層：技術要求分五層，即物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全與恢復；管理要求也分五層：即安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。檢查項分為216項：即第二級管理要求34項、技術要求32項，共計66項；第三級管理要求37項、技術要求36項，共計73項；第四級管理要求37項、技術要求40項，共計77項。?檢查內容分為783點：及第二級管理要求96點、技術要求79點；第三級管理要求154點、技術要求136點；第四級管理要求170點、技術要求148點?？梢钥闯?，對于用戶自查而言，各等級在“檢查類型、檢查層面”都是一致的，但“檢查項、檢查內容”不同。詳情請參考下表：檢杳項址譏一級項三級項匹級項管理要求313737技術要求323640統(tǒng)計667317檢杳環(huán)窖統(tǒng)汁—級項三級項管區(qū)要求951S417C技術要求791北1鐵統(tǒng)計175290318

【注】：技術類安全要求與信息系統(tǒng)提供的技術安全機制有關，管理類安全要求與信息系統(tǒng)中各種角色參與的活動有關。S、A、G概念：根據(jù)保護側重點的不同，技術類安全要求進一步細分為：保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為A）；通用安全保護類要求（簡記為G）。五、自查表填寫數(shù)量分析栓査層■栓査層■S第二靈唇理要束妄全皆理制度盍全昏煙■機構人西左全管理系統(tǒng)運雉昏煙物理先全要朮-/網(wǎng)絡左室要束丄主機先全要束-/應丙克令要求毅雌全與恢煜要卓第三我女全昏理判度系統(tǒng)趙設恃理乘統(tǒng)運維管理械術要求物理衣全耍隸問絡先全要朮-/主機克全要求應耳衣全耍束丄教據(jù)先全與恢復要*-/皆理要求妄金皆廈制度蜚全昏理機構系釜運釀昏理披術塞殺物理左全要求網(wǎng)絡實室要琪J_主肌克金要求應耳衣全耍束丄教雌金￡饒簽要求i蓋輔諛量負計丄11-/-/313_J_2-/J3V丄32土11丄313J2丄3丄J_3-/z1131=3丄2±±3丄J_3±2上圖可以看出，用戶自查時，不論是第二級、第三級或第四級，從需要填寫的Excel表格數(shù)量來說，都是管理要求類表格1個，技術要求類表格13個，一共14個表格。圖中中加灰色部分可以看出，不論是第二級、第三級或第四級，管理要求部分都沒有對S和A的檢查要求。技術要求類中的網(wǎng)絡安全要求沒有對A的檢查要求，數(shù)據(jù)安全與恢復要求沒有對G的檢查要求。參考附件：自查表格填寫數(shù)量分析.xls六、自查之各等級“檢查項”數(shù)量分析徐護寺飆檢査層面SAG二囊檢査巫三靈檢査晅四靈檢査頊.牛冷：棗胃茹劇車.占iV.n|, +寺才計七拓；1臺：1-1別沖齊苻佻詩隸":口燈和―址海、曲覽和牛號T拎鳳■灼湘1住怎77W牛擊吉::、俚護至統(tǒng)理蟻正帛的運行■免妥內殺統(tǒng)的未提祝惟改、破壞雨導越系環(huán)可.用的膽落保還壟更求（筒記為:一、i冉宙W科"豐擊Kt簡衛(wèi)為G:首哩要寸1、璉営理制度333?.史2苣哩n右555■L，.匸77夕甘評5551.系址建設管理91111匚宗貳七茫甘評需￥育記三戸審耳:121313恃廠畫阪1.物理安全丟求101010網(wǎng)貂晝全垂求百77三瞋玄TU；^￥-117nm守全標記可信踣徑￡應用空全璽求安全標記79■1可信路徑亠辺括云復芟朮333咎級稱杏項皴章紙計Y311上圖可以看出，第二級管理要求檢查項34項、技術要求檢查項32項，共計66項；第三級管理要求檢查項37項、技術要求檢查項36項，共計73項；第四級管理要求檢查項37項、技術要求檢查項40項，共計77項。上圖中，我們用| |代表第二級中的檢查項，用 代表第三級相對第二級多增的檢查項。即在管理要求類型的系統(tǒng)建設管理檢查層面多增了對“系統(tǒng)備案、等級測評”的檢查項；在技術要求類型的網(wǎng)絡安全檢查層面多增了對“惡意代碼防范”的檢查項；在主機安全層面多增了對“剩余信息保護”的檢查項；在應用安全層面多增了對“剩余信息保護、抗抵賴”的檢查項。用代表第四級相對第三級多增的檢查項。即在技術要求類型的主機安全檢查層面多增了對“安全標記、可信路徑”的檢查項；在應用安全檢查層面也多增了對“安全標記、可信路徑”的檢查項。參考附件：自查表各等級檢查項數(shù)量分析.xls七、自查之各等級“檢查內容”數(shù)量分析自查表各等級檢查內容數(shù)量分析.xls從表中可以看出，對于所有的檢查項，從第二級到第三級再到第四級，隨著級別的增加，其包含的檢查內容都在增多或至少持平，除了技術要求類型中“主機安全、網(wǎng)絡安全和應用安全”這三個檢查層面的“訪問控制”檢查項外。因為隨著安全級別的提升，安全強度要求也在提升，對于“訪問控制”的要求越來越嚴格，因此級別越高越，基本要求中越是使用更少、更嚴謹、更緊縮的條件來描述如何才能達到安全要求，因而檢查內容反而減少。八、如何通過使用“自查表”來實施等保自查首先，實施自查的信息系統(tǒng)使用者要對等?；疽笥幸粋€宏觀的把握和了解，要對自查層次、范圍、方式有一定程度的認識，因此才有前面從第三章到第七章的各種概念闡述和數(shù)據(jù)分析。其次，相對于基本要求提出的“級、類、層、項、點”，即從“保護等級”——“要求類型”——“檢查層面”——“檢查項”到“檢查內容點”的五級逐級遞進、細分式安全概念，使用者在開展自查工作時要有步驟的進行：確定待查信息系統(tǒng)的安全等級；清楚從宏觀上，任何等保信息系統(tǒng)的自查都是從“技術要求”和“管理要求”這兩個類型展開;3） 清楚第二級、第三級、第四級系統(tǒng)完成自查都需要完成14張Excel表格的填寫；其中有1張表格專門用于對管理要求進行安全性檢查，其他13張表格用于對技術要求進行安全性檢查。具體參見第五章。4） 管理要求自查：假設現(xiàn)在對一個三級系統(tǒng)進行自查。管理要求分為5個檢查層面、37個檢查項、154個檢查內容點。實際操作如下表所示:1237.EL1.01.a應剛定佰鼠妄空工陽前喊肚污姑利宴至轉阡說朋47-2.1.01.h囹時妥全玄理活動甲田昔糞薈理F3WN妥全晉理▼5畫質手哲理人員超乍日榨理擠陽J67.ELI.01.dM?転■:-:T：a-"3■叩廉"II：；；：:I77.E.1.0B.aB7.2.1.02.h中IT??]廳1竝■刪1鹿應具有範一的格st并迸行麗揑制§li選揮10T-2.1.02.dfl?■■■■：7吋—’「：..117.2.1.OB.e史空?￡吐別匱凰注明友布駆-并對收總龍世肓豎]27.2.1.OS.a|-=計"aja訂]4?-2.2.ai.a醱立荷丸安全SSt工作的輪閭門，it立安全主157-E.B.Ol.h（2設r專翻理員..用絡晉理員，史住哩員對齒167-2.2.01.cRluZlXB.03?:； : T1 -.1.■--計"a1??.2.2.01.d137u巳2.02.a應配備一定敷酗系境；翅員.兩輕住鯉??安全人2亂站bC3童配看咅疇主欝1員|不耳死任?詒進捧207.2.2.02.c頼事務Rrii應配爵人北同住理7.22.03.a駅規(guī)據(jù)呂彳嚙門和鹵垃同呪貴明SW賀利1爭項?詒進璋227u巳2.03.b直針對爭臨變!E.也?辭、也理誼問初茅鐵按h227-22.uS.?二批應定掘審咔妃工頂?.融時整恬需按抿和至扯的國請迭捧247.2.3.03.d機枸.4'.■■.■257.Z2.04.aE?加貫呂敘理人《3左間，蛆擔応面制^枸勺間貞忑267.呂Z.04.b4”遼.嚴丫：：」m.■i'.■■■■37業(yè)畀?；??專業(yè)田妄全仝司.妻7.Z.3.04.dTF應建立葉甲國駐聘耒引耒?包牯壞爭蟲儻容秣.宜自查人員根據(jù)表格順序，對照從面、項、內容點，尤其注意一項一項仔細閱讀檢查內容點，然后審查本單位、本系統(tǒng)實現(xiàn)情況是否與“檢查內容”欄目中提出的要求相符合，然后進行客觀評價，在“自查符合情況”一欄下選菜單中選擇“符合、部分符合、不符合或不適用”等選項，并且在后面的“自查現(xiàn)狀說明”一欄相應位置填寫有關現(xiàn)實情況。管理要求的自查均屬于這類客觀性的，可以進行對照的自問自審式內容檢查點，不需要借助復雜的信息技術工具產(chǎn)品，采用詢問情況（單位內部有關其他部門或人員），查閱、核對材料，調看記錄、資料等方式即可完成。5）技術要求自査：假設現(xiàn)在對一個三級系統(tǒng)進行自查。技術要求自查與管理要求自查略有區(qū)別，從“物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全與恢復”等五個“檢查層面”來看，主要是“物理安全”檢查層面與其他四個檢查層面有不同。對于“物理安全”檢查層面，其自查方法與管理要求自查方法相同，具體請參照第四條執(zhí)行，其自查表格形式如下表示：

2榜勰求S旦在機馬蛹空路上配直相酬和過電壓厲Ema?的備用電上曲y至至少荷足主曇設備在斷電愴此下曲正當運齊宴菇47.L1.09.bI:.11::■7.lui.cjy.ivh；56化 d請選擇對于“網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全與恢復”檢查層面,因為一個“檢查內容點”往往會對應多個“資產(chǎn)類型”，參見下表：1與眼目rattoErafidlA4a.fcJ阿刃fl擺產(chǎn)3了可?！?WTTWq〔■II■嚴?1磚產(chǎn)胃匸：■3尸于已目MiT.J.tQtiFHS出應-■器丘出迪■T.].ZDLb±?:ff耳恵氐廳qsK劇iiXUfi如圖所示，現(xiàn)在檢查的是“網(wǎng)絡安全”檢查層面的“邊界完整性檢查”這一個“檢查項”，檢查內容要求如下：應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷應能夠對內部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷針對這兩項檢查內容，用戶系統(tǒng)在實際實施的安全性產(chǎn)品中（即資產(chǎn)類型），既可以通過“安全審計類”產(chǎn)品如“內網(wǎng)終端桌面安全綜合管理系統(tǒng)”來實現(xiàn)，如下圖：也可以通過部署在網(wǎng)絡邊界的防火墻來實現(xiàn)，如下圖:這類現(xiàn)象正是“網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全與恢復”等這四個檢查層面和管理要求有區(qū)別的最大不同點