计算机信息安全等级保护手册

计算机信息安全等级保护手册版本：V2.0（适配2025版等级测评标准）编制依据：《网络安全法》《网络安全等级保护条例》《网络安全等级保护基本要求》（GB/T22239-2019）、《网络安全等级保护测评要求》（GB/T28448-2019）、《网络安全等级测评报告模版（2025版）》及相关法律法规、国家标准目的：规范计算机信息系统安全等级保护工作，明确各等级保护要求、实施流程、责任分工及风险防控措施，保障信息系统安全稳定运行，防范网络安全风险，满足合规要求，保护国家、集体及个人信息资产安全。适用范围：本手册适用于各类开展计算机信息安全等级保护工作的单位（企业、事业单位、机关团体等），涵盖信息系统定级、备案、建设整改、等级测评、监督检查及日常运维等全流程，适用于等级保护一级至五级对象，重点聚焦二级、三级等保常见场景。第一章总则1.1核心定义计算机信息安全等级保护：简称“等保”，是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。等级保护对象：指需要实行等级保护的信息系统、通信网络设施和数据资源等，包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。等级测评：指由具备资质的测评机构，依据国家有关法律法规和技术标准，对信息系统的安全保护等级实施情况进行检测、评估，出具测评报告的活动，2025版测评已取消百分制打分，采用三级结论体系。安全保护等级：根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，分为五个等级，各级保护要求逐级提升。1.2基本原则分级保护原则：根据信息系统的重要程度和风险等级，划分不同安全保护等级，实施差异化保护措施，确保保护力度与风险等级相匹配。合规性原则：严格遵循国家相关法律法规、国家标准及行业规范，确保等保工作合法合规，满足备案、测评及监督检查要求。全面性原则：覆盖信息系统的物理环境、网络、主机、应用、数据等全领域，覆盖定级、备案、建设整改、测评、运维等全流程，实现全方位、全生命周期安全保护。动态调整原则：根据信息系统的业务变化、技术升级、风险变化及等级测评结果，及时调整安全保护措施和等级，确保保护效果持续有效。责任落实原则：明确单位主要负责人、安全管理人员、技术人员及各岗位人员的等保工作职责，将责任层层落实到人，形成全员参与、全程管控的工作机制。1.3责任分工单位主要负责人：作为等保工作第一责任人，负责审批等保工作规划、预算、重大决策，督促等保工作落地实施，对信息系统安全负总责。安全管理部门：牵头组织等保工作，负责信息系统定级、备案、建设整改、等级测评的组织实施，制定安全管理制度，开展安全培训、风险评估及应急处置。技术部门：负责信息系统安全技术防护设施的建设、部署、运维，落实技术层面的等保要求，及时修复安全漏洞，保障系统技术安全。各业务部门：配合等保工作开展，落实本部门业务系统的安全管理要求，规范业务操作，及时上报安全隐患和信息安全事件。安全管理人员：负责日常安全运维、日志审计、漏洞扫描、安全检查，督促各项安全措施落实，协助开展等级测评和整改工作。第二章安全保护等级划分与定级2.1等级划分标准（2025最新版）根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2025），计算机信息系统安全保护等级分为五级，各级定义及风险描述如下：第一级：自主保护级

保护对象：一般信息系统，其遭到破坏后，损害限于单位内部利益，不影响国家安全、社会秩序和公共利益。

适用场景：小型企业内部办公系统、个人网站、非核心业务系统等。

保护要求：由单位自主制定安全保护措施，自主进行安全管理，无需向监管部门备案，无需开展等级测评。第二级：指导保护级

保护对象：重要信息系统，其遭到破坏后，会损害社会秩序和公共利益，但影响有限，不会危害国家安全。

适用场景：中小型企业核心业务系统、政务部门非核心业务系统、教育机构教学管理系统等。

保护要求：在监管部门指导下开展安全保护工作，需完成备案，每两年开展一次等级测评，落实相应的技术和管理保护措施。第三级：监督保护级

保护对象：重要信息系统，其遭到破坏后，会对社会秩序和公共利益造成较大影响，可能间接危害国家安全。

适用场景：大型企业核心业务系统、政务部门核心业务系统、金融机构基础业务系统、医疗行业核心诊疗系统等。

保护要求：接受监管部门的监督、检查和指导，需完成备案，每年开展一次等级测评，严格落实技术和管理保护措施，建立完善的安全防护体系。第四级：强制保护级

保护对象：特别重要信息系统，其遭到破坏后，会影响国家安全、社会秩序或经济利益重大，造成严重危害。

适用场景：国家关键信息基础设施、金融核心交易系统、能源调度系统、国防相关信息系统等。

保护要求：实行强制保护，接受监管部门的严格监督和检查，需完成备案，每半年开展一次等级测评，建立高级别安全防护体系，具备较强的应急处置能力。第五级：专控保护级

保护对象：极端重要信息系统，其遭到破坏后，会严重危害国家安全。

适用场景：国家核心机密信息系统、国防尖端技术系统等。

保护要求：实行专门控制和保护，由国家专门机构进行管控，制定特殊的安全保护措施，严格落实各项安全管控要求，定期开展专项测评和检查。2.2定级流程确定定级对象：梳理单位内所有信息系统，明确每个系统的业务范围、数据类型、重要程度、服务对象及遭到破坏后的危害范围和程度，确定需要定级的信息系统。初步定级：根据定级对象的重要程度、数据敏感性及破坏后的危害程度，对照等级划分标准，初步确定安全保护等级。定级评审：组织单位内部安全管理人员、技术人员及业务骨干开展定级评审，必要时邀请第三方专业机构提供技术支持，对初步定级结果进行审核，确保定级准确。确定定级结果：根据评审意见，调整完善定级结果，形成《信息系统安全等级保护定级报告》，由单位主要负责人审批确认。定级备案：二级及以上等级保护对象，需在定级完成后30日内，向属地公安机关网络安全保卫部门提交备案材料，完成备案手续；一级保护对象无需备案。2.3定级注意事项定级需结合业务实际，全面评估系统的重要性和风险，避免定级过高或过低，确保定级与系统实际风险匹配。涉及多业务、多数据的综合信息系统，需按最高风险等级定级；多个独立信息系统，需分别定级、分别备案、分别测评。定级后，若系统业务范围、数据类型、重要程度发生变化，需及时重新定级，调整安全保护措施，并更新备案信息。定级报告需完整、规范，明确定级依据、定级过程、定级结果及理由，作为备案和测评的重要依据。第三章各等级安全保护核心要求3.1通用保护要求（适用于各级保护对象）各级保护对象均需落实以下通用要求，采用“一个中心，三重防护”的防护理念，强化纵深防御和精细防御体系，重点涵盖技术和管理两大维度，与等保2.0标准框架保持一致：3.1.1技术防护要求安全物理环境：选择安全的物理位置，落实物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等措施，保障物理设备安全。安全通信网络：规范网络架构，优化网络分区，落实通信传输加密、访问控制、流量监控等措施，防范网络攻击和数据泄露，强化可信验证机制。安全区域边界：部署防火墙、入侵检测/防御系统、VPN等边界防护设备，明确边界访问规则，对进出边界的流量进行管控，防范边界攻击。安全计算环境：对主机、服务器、终端等设备进行安全配置，落实账户管理、权限控制、漏洞修复、病毒防护、数据备份等措施，保障计算环境安全。安全管理中心：建立安全管理中心，实现日志集中收集、分析、审计，开展安全监控、风险预警和应急处置，强化安全态势感知能力。3.1.2安全管理要求安全管理制度：制定完善的安全管理制度、操作规程和应急预案，明确安全管理要求，定期修订完善，确保制度的适用性和可操作性。安全管理机构：建立专门的安全管理机构，配备专职安全管理人员，明确岗位职责，建立健全工作机制。安全管理人员：开展安全培训和考核，提升安全管理人员的专业能力，落实岗位责任制，规范人员操作。安全建设管理：规范信息系统建设流程，落实安全设计、安全测试、安全验收等要求，确保系统建设符合等保标准。安全运维管理：建立日常运维机制，开展漏洞扫描、安全检查、日志审计、数据备份等运维工作，及时处置安全隐患和事件。3.2各级差异化保护要求一级（自主保护级）：仅需落实通用保护要求中的基础措施，由单位自主管理，无需专业测评，重点防范简单的安全风险，确保系统正常运行。二级（指导保护级）：在通用保护要求基础上，强化边界防护、账户权限管理和日志审计，配备基础的安全防护设备，定期开展内部安全检查，每两年开展一次等级测评，接受监管部门指导。三级（监督保护级）：在二级保护要求基础上，进一步强化技术防护和管理要求，部署高级别安全防护设备（如入侵防御系统、数据加密设备、安全态势感知系统等），建立完善的应急处置体系，每年开展一次等级测评，接受监管部门监督检查，强化密码技术和可信计算技术的使用。四级（强制保护级）：在三级保护要求基础上，实行强制管控，部署更高级别的安全防护设备，建立全方位、多层次的安全防护体系，实现安全风险的实时监控和快速处置，每半年开展一次等级测评，严格落实监管要求，重点防范高级别网络攻击。五级（专控保护级）：在四级保护要求基础上，实行专门控制，采用特殊的安全防护技术和管理措施，由国家专门机构进行管控，定期开展专项测评和检查，确保系统绝对安全，防范国家级网络攻击。3.3新应用场景扩展要求针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域，需在通用保护要求基础上，落实相应的安全扩展要求，确保等保覆盖全场景：云计算安全扩展要求：重点落实云平台隔离、租户数据保护、虚拟化安全、云安全管理等措施，防范云环境下的特有安全风险。移动互联安全扩展要求：强化移动终端管理、移动应用安全、无线通信安全等措施，防范移动终端接入带来的安全风险。物联网安全扩展要求：落实设备接入管控、数据传输加密、终端安全防护等措施，防范物联网设备带来的安全隐患。工业控制系统安全扩展要求：强化工业协议防护、现场设备管控、实时监控等措施，防范工业控制系统被攻击、篡改带来的生产安全风险。大数据安全扩展要求：落实数据分类分级、数据加密、数据访问控制、数据泄露防护等措施，保障大数据平台和数据资源安全。第四章等级保护实施流程4.1总体流程计算机信息安全等级保护实施流程分为五个阶段，形成闭环管理：定级备案→建设整改→等级测评→监督检查→持续改进，各阶段无缝衔接，确保等保工作落地见效。4.2各阶段具体实施要求4.2.1定级备案阶段完成定级工作，形成《信息系统安全等级保护定级报告》，经单位主要负责人审批确认。准备备案材料：包括定级报告、信息系统基本信息表、安全管理制度清单、技术防护设施清单等。提交备案申请：二级及以上等级保护对象，向属地公安机关网络安全保卫部门提交备案材料，线上或线下完成备案手续。备案审核：公安机关对备案材料进行审核，审核通过后，发放备案证明；审核不通过的，需补充完善材料后重新提交。备案更新：信息系统定级调整、业务变更、技术升级后，需及时更新备案信息，重新提交备案材料。4.2.2建设整改阶段差距分析：对照对应等级的安全保护要求，结合信息系统实际情况，开展安全差距分析，明确现有防护措施与等保要求的差距，形成差距分析报告。制定整改方案：根据差距分析报告，制定详细的建设整改方案，明确整改目标、整改内容、整改措施、责任分工、时间节点和预算。落实整改措施：按照整改方案，部署安全防护设备、优化系统配置、完善安全管理制度、开展人员培训，落实各项整改措施。整改验收：整改完成后，组织内部验收，检查整改措施落实情况，确保整改达到等保要求；必要时邀请第三方专业机构进行整改评估。4.2.3等级测评阶段（2025版最新要求）选择测评机构：选择具备国家认可资质的等级测评机构，签订测评合同，明确测评范围、测评内容、测评时间和双方责任。测评准备：配合测评机构开展测评准备工作，提供信息系统相关资料（系统架构、安全配置、管理制度等），协助测评机构开展现场勘查。现场测评：测评机构按照《网络安全等级保护测评要求》及2025版测评模板，开展现场测评，包括技术测评和管理测评，采用双维度拓扑图示呈现安全区域划分，细化渗透测试问题描述。测评报告编制：测评机构根据测评结果，编制等级测评报告，采用三级结论体系（符合、基本符合、不符合），明确符合率计算方式，分析重大风险隐患，提出整改建议，新增重大风险隐患全周期管理相关内容。测评结果处理：单位收到测评报告后，对测评中发现的问题，制定整改方案，及时落实整改；测评结论为“不符合”的，需重新开展测评，直至达到符合要求。测评周期：二级保护对象每两年开展一次，三级保护对象每年开展一次，四级保护对象每半年开展一次，五级保护对象按国家相关要求开展专项测评。4.2.4监督检查阶段内部监督检查：单位安全管理部门定期开展内部安全检查，每月至少开展一次日常检查，每季度开展一次专项检查，每年开展一次全面检查，及时发现和处置安全隐患。监管部门监督检查：接受公安机关、行业主管部门的监督检查，配合提供等保工作相关资料，落实监管部门提出的整改要求。问题整改：对监督检查中发现的问题，建立问题台账，明确整改责任和时间节点，及时整改，形成整改报告，上报监管部门。4.2.5持续改进阶段风险评估：每年开展一次全面的安全风险评估，识别信息系统面临的安全风险，评估安全保护措施的有效性，形成风险评估报告。措施优化：根据风险评估结果、等级测评结果和监督检查意见，优化安全防护措施，完善安全管理制度，提升安全保护水平。人员培训：定期开展安全培训，提升安全管理人员、技术人员和业务人员的安全意识和专业能力，确保各项安全措施落到实处。技术升级：跟踪网络安全技术发展趋势，及时升级安全防护设备和系统，应对新型网络安全威胁，确保信息系统安全稳定运行。第五章安全管理制度与操作规程5.1核心安全管理制度各级保护对象需建立完善的安全管理制度，覆盖等保全流程，主要包括：信息安全等级保护管理制度：明确等保工作总体要求、责任分工、实施流程和考核办法。物理安全管理制度：规范物理环境、物理设备的安全管理，明确物理访问控制、防盗窃、防破坏等要求。网络安全管理制度：规范网络架构、网络访问控制、网络监控、网络运维等要求，防范网络攻击。主机安全管理制度：规范主机、服务器的安全配置、账户管理、漏洞修复、病毒防护等要求。应用安全管理制度：规范应用系统的开发、测试、部署、运维等要求，防范应用层面安全风险。数据安全管理制度：规范数据收集、存储、传输、使用、销毁等全生命周期管理，保障数据安全。人员安全管理制度：规范安全管理人员、技术人员和业务人员的岗位职责、培训考核、保密要求等。应急处置管理制度：规范信息安全事件的分级、响应、处置流程，明确应急组织架构和责任分工。日志审计管理制度：规范日志的收集、存储、分析、审计等要求，确保日志的完整性和可追溯性。安全测评管理制度：规范等级测评的组织实施、测评结果处理、整改落实等要求。5.2关键操作规程账户管理操作规程：规范账户的创建、修改、删除、权限分配等操作，定期开展账户清理，防范账户泄露风险。漏洞扫描与修复操作规程：规范漏洞扫描的频率、范围和方法，明确漏洞修复的流程和时间节点，及时修复安全漏洞。数据备份与恢复操作规程：规范数据备份的频率、方式、存储位置，明确数据恢复的流程和测试要求，确保数据可恢复。安全设备运维操作规程：规范防火墙、入侵检测/防御系统等安全设备的配置、监控、日志查看、升级等操作。应急处置操作规程：规范信息安全事件的上报、研判、处置、复盘等操作，确保事件得到快速有效处置。等级测评操作规程：规范等级测评的准备、配合、整改等操作，确保测评工作顺利开展。5.3制度管理要求制度制定：结合单位实际和等保要求，制定完善的安全管理制度和操作规程，确保制度的适用性和可操作性。制度培训：定期组织全员开展安全管理制度和操作规程培训，确保各岗位人员熟悉制度要求，掌握操作规范。制度执行：加强制度执行的监督检查，对违反制度的行为，严肃追究相关人员责任，确保制度落到实处。制度修订：每年对安全管理制度和操作规程进行一次修订，根据业务变化、技术升级和等保要求调整，确保制度的时效性。第六章风险防控与应急处置6.1风险防控措施风险识别：定期开展安全风险识别，全面排查信息系统在物理、网络、主机、应用、数据、人员等方面的安全风险，建立风险台账。风险评估：每年开展一次全面的安全风险评估，采用CVSS4.0评分系统对隐患进行分级，评估风险发生的可能性和影响程度，确定风险等级，形成风险评估报告。风险处置：根据风险评估结果，对不同等级的风险采取相应的处置措施，包括风险规避、风险降低、风险转移、风险接受，重点处置重大风险隐患，建立“三定”原则（定级、定时、定责）。日常防控：加强日常安全运维，开展漏洞扫描、病毒查杀、日志审计、安全检查等工作，及时发现和处置安全隐患，防范风险发生。重大风险隐患管控：对识别出的重大风险隐患（可导致系统瘫痪的架构缺陷、存在大规模数据泄露风险的漏洞、可能引发级联故障的安全短板），建立专项管控机制，定期跟踪整改情况，确保隐患及时消除。6.2应急处置体系应急组织架构：建立应急领导小组、应急技术小组、应急联络小组，明确各小组的职责分工，确保应急处置工作有序开展。应急预案制定：制定完善的信息安全事件应急预案，包括总体应急预案、专项应急预案（如网络攻击应急预案、数据泄露应急预案、系统瘫痪应急预案等），明确应急响应流程、处置措施和责任分工，结合附录G的应急处理预案完善预案内容。应急准备：配备应急设备和物资（如备用服务器、应急电源、数据备份介质等），开展应急培训和应急演练，提升应急处置能力。应急响应：发生信息安全事件后，及时启动应急预案，按照应急响应流程，开展事件研判、处置、控制，降低事件造成的损失，及时上报监管部门。事件复盘：事件处置完成后，开展事件复盘，分析事件原因、处置过程和存在的问题，优化应急预案和防控措施，避免类似事件再次发生。6.3常见安全事件处置要点网络攻击事件：立即切断受攻击系统与网络的连接，排查攻击来源和攻击方式，清除恶意程序，修复系统漏洞，恢复系统正常运行，留存攻击日志和证据。数据泄露事件：立即停止数据泄露行为，排查泄露数据的类型、范围和泄露途径，采取加密、删除等措施，防止数据进一步泄露，通知相关受影响人员，上报监管部门。系统瘫痪事件：立即启动备用系统，恢复业务正常运行，排查系统瘫痪原因（如硬件故障、软件故障、网络故障等），及时修复故障，恢复主系统运行，做好数据备份和恢复工作。病毒感染事件：立即断开感染终端与网络的连接，开展病毒查杀，清除病毒程序，修复受感染系统，升级病毒库，对所有终端进行全面扫描，防范病毒扩散。第七章等级测评相关要求（2025版）7.1测评机构要求测评机构需具备国家网络安全等级保护测评资质，在资质范围内开展测评工作，不得超出资质范围提供测评服务。测评机构需严格按照《网络安全等级保护测评要求》（GB/T28448-2019）及《网络安全等级测评报告模版（2025版）》开展测评工作，确保测评过程规范、测评结果真实准确。测评机构需配备专业的测评人员，具备相应的专业能力和从业资格，严格遵守测评纪律，不得泄露测评过程中获取的单位敏感信息。7.2测评内容与方法测评内容：包括技术测评和管理测评，技术测评涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面；管理测评涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。测评方法：采用访谈、检查、测试等方法，访谈相关人员了解安全管理情况，检查安全管理制度、操作规程、日志等资料，测试信息系统的安全防护措施有效性，细化渗透测试问题描述，确保测评全面、深入。7.3测评结论与整改测评结论：采用三级结论体系，分别为“符合”（符合率≥90%且无重大隐患）、“基本符合”（60%≤符合率<90%或达标但存隐患）、“不符合”（符合率<60%），动态符合