网络安全等级保护自评测查任务清单

网络安全等级保护自评测查任务清单网络安全等级保护（以下简称“等保”）是保障关键信息基础设施与业务系统安全的核心制度。自评测查作为单位自主合规的关键环节，需覆盖定级备案、安全建设、等级测评、日常运维全流程，结合技术防护与管理机制，形成可落地的核查体系。本文从实战视角梳理自评测查任务清单，助力单位高效完成合规自检与风险防控。一、定级与备案环节：从“准确定级”到“合规备案”等保合规的基础是系统定级准确与备案流程合规，需重点核查以下内容：1.系统定级准确性核查结合《信息安全技术网络安全等级保护定级指南》（GB/T____），确认业务系统的安全保护等级是否与业务重要性、数据敏感性匹配（如金融交易系统原则上不低于三级）。核查《定级报告》是否经内部技术、业务部门联合评审，或邀请外部专家论证（复杂系统建议引入第三方咨询）。抽查2-3个核心系统，验证定级结论是否覆盖“业务影响、数据安全、系统可用性”等维度（如医疗系统需重点评估患者数据泄露风险）。2.备案材料完整性核查检查《网络安全等级保护备案表》填写规范性：系统名称、类型、边界范围、服务对象等核心信息是否与实际一致。确认备案附件（系统拓扑图、安全需求说明、定级报告）是否真实有效，拓扑图需标注网络区域划分、设备部署位置、安全设备型号。核查属地公安机关备案回执是否获取，若系统升级、业务调整导致等级变更，需确认备案信息是否同步更新。二、安全建设与整改：技术+管理的“双维度防护”安全建设需对标《网络安全等级保护基本要求》（GB/T____），分技术防护与管理防护两大模块核查：（一）技术防护措施核查（以三级等保为例，可按实际等级调整）1.物理安全机房环境：门禁系统（刷卡/生物识别）、视频监控（存储≥90天）、防火（烟感+灭火器）、防水（地漏+挡水板）、温湿度设备是否正常运行，抽查近1个月的环境巡检记录。设备安全：服务器、网络设备是否独立存放于机柜，是否配置机柜锁、防盗报警（如震动传感器），核心设备是否粘贴“防拆封条”。2.网络安全边界防护：互联网边界是否部署防火墙，策略是否限制非必要端口/协议（如关闭139、445等高危端口），抽查近3个月的防火墙策略变更记录。入侵防范：是否部署IDS/IPS，规则库是否每周更新，近半年的告警日志中，高危告警（如SQL注入、暴力破解）是否100%处置并留存记录。网络隔离：业务系统是否按功能/等级划分VLAN或子网（如办公网与业务网逻辑隔离），通过“traceroute目标IP”验证隔离效果。3.主机安全身份鉴别：操作系统、数据库是否启用强口令策略（长度≥8，含大小写+数字+特殊字符），是否定期更换（每90天），抽查5个账号的密码复杂度。访问控制：是否配置用户权限（最小权限原则），禁止管理员账号共享，登录失败处理策略（如3次失败锁定30分钟）是否生效。恶意代码防范：终端是否部署防病毒软件（病毒库每日更新），服务器是否禁用不必要的外联（如通过iptables限制服务器访问互联网）。4.应用安全身份认证：业务系统是否采用多因素认证（如密码+短信验证码），会话超时时间是否≤30分钟，测试“记住密码”功能是否仅限个人设备。输入验证：是否对用户输入做合法性检查（如拦截SQL注入、XSS攻击），近1年是否开展代码审计（可委托第三方），审计报告中高危漏洞是否闭环整改。安全审计：应用日志是否记录“用户登录、数据增删改”等操作，日志存储≥6个月，抽查3条敏感操作日志的完整性。5.数据安全数据备份：是否每日备份，备份介质是否离线存放（如异地机房），近3次恢复测试是否成功（提供测试报告+数据完整性校验记录）。（二）管理防护措施核查1.安全管理制度制度体系：是否建立《网络安全管理制度》《应急预案》《人员安全管理办法》等文件，制度是否覆盖“人员入职-离职、系统建设-运维、事件处置-复盘”全流程。制度执行：抽查3个月内的执行记录（如人员培训签到表、安全事件处置报告），验证制度是否“写得到、做得到、查得到”。2.安全管理机构组织架构：是否设立网络安全管理部门（或指定专人），职责是否分离（安全管理员、系统管理员、审计员独立），抽查3个岗位的职责说明书。外部协作：是否与属地公安、运营商、应急机构建立联络机制，是否有应急协作协议（如网络攻击应急响应联动）。3.人员安全管理入职管理：新员工是否签署保密协议，关键岗位（如运维、开发）是否开展背景调查（提供调查记录）。离职管理：离职员工账号是否24小时内注销，门禁卡、设备是否回收，抽查近半年的离职人员资产回收清单。安全培训：是否每半年组织1次安全培训，内容是否包含“等保要求、钓鱼邮件识别、应急技能”，提供培训课件+签到表。4.系统运维管理变更管理：系统升级、配置修改是否执行“申请-审批-实施-回滚”流程，近半年的变更记录是否完整（含变更原因、影响范围、测试报告）。漏洞管理：是否每月开展漏洞扫描（工具如Nessus、AWVS），高危漏洞（如CVE-2023-xxx）是否15天内整改，提供漏洞扫描报告+整改复测记录。三、等级测评环节：从“准备充分”到“整改闭环”等级测评是合规的“关键验证”，需提前完成测评机构筛选、方案确认、整改验证：1.测评机构资质核查确认测评机构是否在“网络安全等级测评与检测评估机构推荐目录”内，测评项目组成员是否持有《等级测评师证书》（提供人员名单+证书编号）。2.测评方案符合性核查检查测评方案是否覆盖系统所有资产（服务器、终端、网络设备、应用、数据），测评项是否与系统等级的《基本要求》对标（如三级系统需包含“异地备份、多因素认证”等项）。确认测评时间是否避开业务高峰（如银行系统避开工作日9:00-17:00），是否制定“测评故障回滚预案”（如误操作导致服务中断的恢复措施）。3.整改验证准备针对前期自查/预评估发现的问题，核查整改报告是否包含“问题描述、整改措施、验证结果”（如漏洞整改后的复测报告）。准备整改支撑材料：配置截图（如防火墙策略、加密配置）、日志记录（如漏洞处置日志）、采购合同（如安全设备采购凭证）。四、日常运维与监督：从“被动防御”到“主动防控”等保合规是动态过程，需通过日常运维实现持续合规：1.安全监测与日志管理安全监测：是否7×24小时监控安全设备（防火墙、IDS、防病毒），监控记录是否保存≥6个月，抽查3次夜间告警的响应时间（≤30分钟）。2.应急响应与演练应急预案：是否每年修订，是否涵盖“网络攻击、硬件故障、自然灾害”等场景，预案中“责任分工、处置流程、资源清单”是否清晰。应急演练：是否每半年开展1次演练（如模拟勒索病毒攻击、机房断电），演练报告是否包含“问题复盘、改进措施”（如发现备份恢复超时，优化备份策略）。3.合规性持续维护等级变更：业务系统功能调整、数据量变化时，是否重新评估安全等级，是否及时备案（如电商系统新增支付功能，需重新定级）。合规审计：是否每年开展内部合规审计，审计报告是否提交至主管部门或存档备查（如金融机构需向银保监提交审计报告）。五、专项核查：新兴场景的“差异化防护”针对云平台、移动办公等场景，需补充专项核查：1.云平台等保核查责任划分：是否与云服务商签订《安全责任协议》，明确“数据安全、日志留存、漏洞修复”等责任边界（如租户负责应用层安全，云服务商负责基础设施安全）。租户安全：租户是否在云平台内实现安全隔离（如VPC、安全组策略），是否自主管理用户权限（如禁止云服务商默认账号登录租户系统）。2.移动办公系统核查终端安全：移动终端（手机、平板）是否安装企业级MDM软件，是否禁止Root/越狱设备接入，抽查5台终端的合规性（如是否安装非授权APP）。传输安全：移动办公数据传输是否采用VPN加密，是否限制非合规终端访问（如通过设备指纹识别禁止未知终端接入）。结语：以“自评测查”驱动安全