《等保二级/三级自查表:一图读懂合规差距(附下载)》
某医疗企业因未配置双因素认证,在等保三级测评中被一票否决。本文依据GB/T 22239-2019标准,通过对比表格揭示二级与三级的核心差异,助你快速定位98%的合规风险点。
一、技术安全自查表
1. 安全物理环境
| 检查项 | 等保二级要求 | 等保三级要求 | 检查方法 |
| 机房出入控制 | 电子门禁系统 | 电子门禁+生物识别 | 查看访客登记记录 |
| 防火系统 | 自动灭火装置 | 火情自动报警+气体灭火 | 检查消防验收报告 |
| 电磁防护 | 必要屏蔽措施 | 电磁屏蔽机柜+干扰器 | 现场测试电磁辐射值 |
2. 安全通信网络
| 检查项 | 等保二级 | 等保三级 | 示例场景 |
| 网络架构规划 | 重要网络区域划分 | 业务/数据/管理平面分离 | 查看网络拓扑图 |
| 通信加密 | 敏感数据加密传输 | 全流量加密(如IPSec VPN) | 抓包验证HTTPS覆盖率 |
| 网络审计 | 关键节点日志留存30天 | 全流量审计留存6个月 | 检查审计策略配置 |
3. 安全计算环境
| 检查项 | 二级要求 | 三级增强要求 | 典型配置 |
| 身份鉴别 | 口令复杂度策略 | 双因素认证 | 查看AD域策略 |
| 访问控制 | 用户权限分离 | 最小权限原则 | 检查RBAC配置 |
| 安全审计 | 重要操作日志记录 | 全量操作审计+行为分析 | 验证审计日志完整性 |
| 入侵防范 | 基础防火墙规则 | IDS/IPS联动防护 | 检查IPS规则库版本 |
| 恶意代码防范 | 单机防病毒软件 | 集中管控+云查杀 | 查看病毒库更新记录 |
二、安全管理自查表
1. 安全管理制度
| 检查维度 | 二级要求 | 三级要求 | 常见问题 |
| 制度发布 | 形成书面文档 | 全员签署确认 | 存在制度未传达到位 |
| 评审修订 | 每年至少1次评审 | 每半年评审+重大变更修订 | 修订记录缺失 |
2. 人员安全管理
| 关键项 | 二级标准 | 三级标准 | 检查证据 |
| 背景审查 | 关键岗位人员审查 | 全员背景审查 | 查看背调报告 |
| 保密协议 | 关键岗位签署 | 全员签署 | 检查协议签署记录 |
| 离职管理 | 及时禁用账号 | 账号禁用+权限回收审计 | 查看最近离职流程 |
3. 安全建设管理
| 生命周期 | 二级控制点 | 三级增强项 | 实施要点 |
| 系统定级 | 自主定级 | 专家评审定级 | 查看定级报告 |
| 供应商管理 | 签订安全协议 | 供应商安全能力审计 | 检查供应商评估表 |
三、特别差异项(三级独有)
| 核心要求 | 检查标准 | 合规示例 |
| 集中管控 | 建立统一安全管理中心 | 部署SOC平台集成各类安全设备 |
| 渗透测试 | 每年至少1次渗透测试 | 出具CNAS认可机构测试报告 |
| 应急演练 | 每半年开展实战攻防演练 | 留存演练录像及整改报告 |
| 重要数据备份 | 异地实时备份+每月恢复测试 | 查看备份验证记录 |
四、典型扣分项TOP5
-
1. 身份鉴别缺失(三级必配双因素认证)
-
• 风险案例:某政务云因仅使用静态密码被通报
-
2. 日志留存不足(三级需全量存储6个月)
-
• 常见错误:使用系统自带日志未配置转储
-
3. 应急预案缺失(三级要求2小时内响应)
-
• 致命缺陷:未定义勒索病毒专项处置流程
-
4. 供应商失控(三级需审计外包服务商)
-
• 处罚实例:某银行因外包人员违规操作被罚200万
-
5. 安全培训不足(三级要求每年≥16学时)
-
• 高频问题:未保留培训签到与考核记录
等保三级较二级新增37个控制点,在身份鉴别、审计追溯、应急响应等方面提出更高要求。据2023年测评数据,90%的不合规项集中在双因素认证、日志留存、渗透测试三个维度。
原文始发于微信公众号(乌雲安全):等保二级、三级自查表,一查全知道!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论