软件等保合规需求设计指南.docxVIP

软件等保合规需求设计指南

第一章软件等保合规需求设计总体执行规则

一、合规基线强制匹配规则

所有纳入本指南覆盖范围的自研商用软件、政务配套软件、对外运营SaaS服务软件，必须严格对齐《信息安全技术网络安全等级保护基本要求》GB/T22239-2019、《信息安全技术网络安全等级保护定级指南》GB/T22240-2020、《网络安全等级保护条例》国务院令第745号的全部强制条款，不得出现选择性适配、遗漏核心要求的情况。设计过程中需同步参考《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的对应罚则要求，从需求设计源头规避合规风险。

不同等级的软件需设置明确的达标阈值，其中等保一级软件日常安全事件发生率不得超过0.1%，等保二级软件等级保护测评最终得分不得低于70分，高风险项通过率必须达到100%，等保三级软件等级保护测评最终得分不得低于80分，所有强制要求项通过率必须达到100%。所有合规需求设计文档不得出现低于上述阈值的内容，若现有技术条件暂时无法满足某一项强制要求，必须提前向属地网信部门提交专项说明，获得正式批复后方可执行替代方案。

二、全生命周期覆盖规则

合规需求设计必须覆盖软件从立项编码、测试上线、日常运维到下线销毁的全流程，不得仅针对上线前的测评环节临时补做安全设计。需求拆分阶段就要将合规要求拆解为对应到每个研发岗位、运维岗位