【等保合集】800余份等保三级、等保2.0、等保二级、等保测评作业指导、全套信息安全管理体系文件、标准规范方案报告合集(PPT+WORD+PDF)
等保2.0以GB/T 22239-2019为核心,二级(指导保护级)与三级(监督保护级)在身份认证、数据加密、备份恢复及管理制度上差异显著。测评作业指导书依据GB/T 28448编制,覆盖十大安全类;信息安全管理体系文件可参照ISO 27001分层架构,融合等保管理要求实现双标覆盖。
一、基本概念澄清
等保2.0是等级保护制度的标准体系升级(核心标准为GB/T 22239-2019),不是新的等级。五个等级(一级至五级)继续沿用,等保二级(指导保护级)、等保三级(监督保护级)是在2.0框架下的具体等级。
二、等保2.0核心标准文件
标准号 | 标准名称 | 核心作用 |
|---|---|---|
GB/T 22239-2019 | 信息安全技术 网络安全等级保护基本要求 | 等保2.0核心,规定一级至四级通用+扩展要求 |
GB/T 22240-2020 | 信息安全技术 网络安全等级保护定级指南 | 指导定级工作的原理、方法和流程 |
GB/T 28448-2019 | 信息安全技术 网络安全等级保护测评要求 | 规定等级测评的方法、流程和判定准则 |
结构:安全通用要求 + 五个扩展(云计算、移动互联、物联网、工业控制系统、大数据)十个安全类:物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
三、定级方法(依据GB/T 22240-2020)
确定定级对象(系统、网络设施、数据资源)
确定受侵害的客体(国家安全/社会秩序/公共利益/公民法人权益)
确定侵害程度(一般损害/严重损害/特别严重损害)
综合判定等级(一级至五级)
定级结果需书面说明并组织专家论证。
四、等保二级 vs 等保三级 详细对比表
4.1 技术要求差异
对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 身份认证 | 用户名+密码,允许弱密码 | 双因素认证(U盾+短信/生物),密码复杂度≥12位 |
| 入侵检测 | 日志审计即可 | IDS/IPS+全流量分析,拦截率≥99% |
| 数据保护 | 敏感数据加密存储,传输可明文 | 全流程加密(存储+传输),异地实时备份 |
| 备份恢复 | 本地备份,保留7天 | 异地实时备份,RPO≤5分钟,RTO≤30分钟 |
| 网络架构 | 逻辑隔离 | 物理隔离或VLAN隔离+NGFW |
| 访问控制 | 基于IP | 基于用户/角色/时间的细粒度控制 |
| 可信验证 | 无强制 | 通信网络、区域边界、计算环境中增加可信验证 |
4.2 管理要求差异
对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 团队配置 | 可兼职,无证书要求 | 设CISO,团队≥5人,70%持CISP/CISSP |
| 制度文件 | 约10类基础制度 | 22类制度文件,覆盖开发、运维、应急,需符合《数安法》《个保法》 |
| 演练频次 | 每年1次,模拟简单攻击 | 每年2次攻防演练(含社工、供应链、APT) |
| 运维要求 | 基础运维 | 7×24h监控+应急响应 |
| 日志留存 | 一般要求 | 操作日志留存≥6个月,支持追溯 |
4.3 测评周期与监管力度
对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 测评周期 | 建议每2年自主或委托测评 | 每年至少一次 等级测评 |
| 监管力度 | 指导保护级 | 监督保护级,强制检查,违法可行政处罚 |
| 备案层级 | 市级网信部门 | 省级网信部门 |
| 法律责任 | 警告或小额罚款 | 业务停整、高额罚款、刑事责任(《网络安全法》第59条) |
4.4 适用场景与成本参考
对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 适用系统 | 企业官网、内部OA、普通财务 | 银行核心、医院HIS、政务云、大型电商 |
| 测评费 | 3-5万元 | 8-15万元 |
| 整改费 | 10-20万元 | 30-50万元 |
| 年运维费 | 5-10万元 | 15-30万元(含7×24h监控) |
选择建议:非核心系统选二级;涉及敏感数据、交易支付、公共服务、政务功能必须定三级。
五、等保测评作业指导书
5.1 测评总体流程(依据GB/T 28448)
测评准备活动:掌握被测系统,准备工具
方案编制活动:确定对象、指标,编制作业指导书和方案
现场测评活动:执行单元测评和整体测评,获取证据
分析及报告编制:分析差距和风险,形成报告
5.2 作业指导书开发步骤
从GB/T 22239中选择“控制点”和要求项
从GB/T 28448中选择“测评方法”
结合实际情况调整
形成作业指导书
5.3 测评方法
访谈:基于作业指导书,避免倾向性提问
核查:检查制度文档、操作规程、执行记录、物理环境
5.4 作业指导书主要模块(10个)
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
六、信息安全管理体系(ISMS)文件架构
参照ISO/IEC 27001:2022,分为四个层级:
第一层:信息安全管理手册
颁布令、任命书、组织环境、领导作用、规划、支持、运行、绩效评价、改进
第二层:程序文件(示例)
业务持续性管理程序
事故、薄弱点与故障管理程序
风险评估管理程序
内部审核管理程序
用户访问控制程序
管理评审控制程序
重要信息备份管理程序
预防措施程序等
第三层:作业指导书和规定
Token管理规定、介质销毁办法、密码管理规定
机房安全管理规定、数据加密规定
远程工作控制程序、网站信息发布程序
各岗位操作规程
第四层:记录和表单
事故调查分析报告、信息发布审查表
信息资产识别表、法律法规清单
机房值班日志、出入登记表
用户访问授权登记表、第三方访问申请表
测试报告、验收报告、记录借阅登记表等
等保2.0与ISO 27001融合建议
体系/标准 | 核心要求 | 融合要点 |
|---|---|---|
等保2.0(GB/T 22239) | 技术要求+管理要求(10类) | 管理类制度与ISMS管理手册对齐 |
ISO 27001:2022 | 组织环境、领导、规划、支持、运行、评价、改进 | 与等保管理要求整合,一套制度双标覆盖 |
GB/T 22240(定级) | 定级方法 | 对应ISO 27001风险评估中的业务影响分析 |
七、全套信息安全管理体系文件构建方案
7.1 建设步骤
顶层设计:确定范围,成立领导小组,任命管理者代表
风险识别与评估:依据GB/T 22240和ISO 27001附录A
策略与制度编制:编写手册、程序、作业指导书
技术部署:按等保2.0部署防火墙、WAF、IPS、备份、日志审计等
运行与培训:发布制度,全员培训,建立运行记录
内审与改进:内审、管理评审、持续改进
7.2 等保三级必备制度文件清单(22类核心)
安全管理制度总纲
安全管理机构职责
人员安全管理制度
系统建设管理制度
系统运维管理制度
安全开发规范
数据分类分级指南
应急响应预案
系统上线安全检查表
漏洞修复流程
第三方接入规范
机房管理制度
口令管理规范
备份与恢复管理制度
各岗位操作规程及记录表单
……(共计22类,可根据实际补充)
重要提醒:制度必须与《数据安全法》《个人信息保护法》同步更新,否则测评可能被“一票否决”。
7.3 模板资源获取建议
标准文本:全国标准信息公共服务平台
openstd.samr.gov.cn管理体系模板:参考ISO/IEC 27001:2022全套手册
测评作业指导书:测评机构公开指南 + 云厂商(华为云、腾讯云)技术文档