等保测评三级相关标准.pdfVIP

等保测评三级相关标准

信息安全等级保护测评三级标准是我国针对非涉及国家秘密信息系统的重

要安全规范，对象主要为公共服务、民生领域、生产经营类系统。以下从标准

框架、具体要求、实施要点三个维度展开说明。

一、标准框架构成

1.安全通用要求

覆盖物理环境、网络通信、主机设备、应用系统、数据安全五个层面，包

含身份鉴别、访问控制、安全审计等控制点。物理环境方面要求机房配备双路

供电、精密空调、防雷击措施，网络层面强制部署防火墙、入侵检测系统。

2.扩展要求

云计算环境需满足虚拟化安全、镜像保护、API接口鉴权等专项指标。物

联网场景须具备设备身份认证、数据传输加密、边缘计算节点防护能力。移动

互联领域强调APP安全检测、移动终端管控、无线网络准入控制。

3.测评实施规范

要求测评机构具备中国网络安全审查技术与认证中心颁发的资质证书，测

评周期不超过12个月，高风险项整改时间限定30日内。测评报告需加盖测评

机构公章及测评师签名章方为有效。

二、技术要求细则

1.网络架构安全

核心业务区与非核心区实施逻辑隔离，互联网接入区部署抗DDoS设备，

网络设备配置会话保持时间不超过15分钟。重要系统通