2025年网络安全等级保护测评工作计划

为贯彻落实《中华人民共和国网络安全法》《网络安全等级保护条例》《数据安全法》等法律法规,依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2021)等国家标准要求,结合本单位信息化建设实际,现制定2025年网络安全等级保护测评工作计划如下:

一、工作目标

  1. 全面完成等级保护测评 :确保本单位所有二级及以上信息系统(含云计算平台、物联网系统)100%完成定级备案、安全测评及整改验收。
  2. 落实主体责任 :明确网络安全管理职责,签订《网络安全责任书》,健全责任追溯机制。
  3. 风险闭环管理 :对测评发现的中高风险项整改率达100%,形成“测评—整改—复查”管理闭环。

二、组织领导

成立“网络安全等级保护工作领导小组”(以下简称“领导小组”):

  • 组长 :单位主要负责人
  • 副组长 :分管网络安全的领导班子成员
  • 成员部门 :信息中心、法务部、财务部、审计部、业务部门负责人
  • 职责分工 :领导小组下设办公室(挂靠信息中心),负责测评全流程协调与监督(附件1:《任务分解表》)。

三、实施步骤及进度安排

(一)系统定级与备案阶段(2025年1月—3月)

  1. 系统资产清查 (1月31日前完成)
    • 依据《网络安全等级保护定级指南》(GB/T 22240-2020),全面梳理信息系统清单,重点核查新增云平台、物联网终端。
    • 责任部门:信息中心牵头,业务部门配合。
  2. 定级评审与备案 (3月15日前完成)
    • 组织专家评审会确认系统级别,二级及以上系统提交备案材料,同步向属地公安机关报备。

(二)委托测评机构(2025年4月—5月)

  1. 项目立项与审批(4月1日—4月10日)
    • 立项依据 :根据《网络安全法》第二十一条,编制《等保测评项目立项申请书》,明确测评范围(附件3)、预算及实施必要性。
    • 审批流程
      • 信息中心提交立项材料,经法务部合规审查、财务部预算审核后,报领导小组审批(附件4:《立项审批表》需组长签字)。
      • 预算≥50万元项目报上级主管部门备案(依据《行政事业单位内部控制规范》)。
  2. 公开招标采购(4月11日—4月25日)
    • 采购方式
      • 预算≥30万元项目采用公开招标(依据《政府采购货物和服务招标投标管理办法》财政部令第87号);
      • <30万元项目采用竞争性磋商或单一来源采购(需附《单一来源采购专家论证意见》)。
    • 招标流程
      • 发布招标公告:通过“中国政府采购网”及单位官网公示(≥5个工作日);
      • 评标委员会:由信息中心、外部专家(占比≥2/3)组成,按《政府采购评审专家管理办法》执行;
      • 中标公示:确定中标机构后,公示期≥3日(附件5:《招标过程记录表》)。
  3. 合同签订与备案(4月26日—4月30日)
    • 与中标机构签订《网络安全等级保护测评服务合同》,明确测评范围、验收标准、保密条款及违约责任(参照《标准合同》);
    • 合同签订后5日内,向属地公安机关及财政部门备案(依据《政府采购法》第四十七条)。
  4. 项目审计监督(全程)
    • 过程审计 :单位审计部门对招标程序、合同履约情况开展专项审计(依据《审计法》第二十二条);
    • 社会监督 :招标结果及合同关键条款(除涉密内容外)在单位官网公示。

(三)安全测评与整改(2025年5月—9月)

  1. 现场测评实施(5月—7月)
    • 测评范围覆盖物理环境、通信网络、区域边界、计算环境及管理中心(依据GB/T 22239-2019),重点核查数据安全(GB/T 35273-2020)及供应链风险。
  2. 问题整改与复核(8月—9月)
    • 针对高风险项(如未部署入侵检测系统、日志留存不足6个月),制定整改方案并纳入预算,整改完成后由测评机构出具复查报告。

(四)项目验收与总结(2025年10月—12月)

  1. 验收程序(测评完成后10日内)
    • 验收依据 :对照GB/T 28448-2021及合同条款,由信息中心、外部专家组成验收组;
    • 验收内容 :核查测评报告完整性、整改有效性及档案合规性(附件6:《验收报告模板》)。
  2. 工作总结与考核(12月31日前)
    • 形成《XX单位2025年等保测评工作报告》,报上级主管部门及属地网信办;
    • 将测评结果纳入部门绩效考核,未达标部门取消年度评优资格。

四、技术要求与管理措施

(一)技术保障

  1. 安全物理环境
    • 机房部署双因子门禁系统、视频监控(留存≥90天)及防雷防火设施,供电冗余符合A级机房要求。
    • 办公区域与机房物理隔离,外来人员进入需审批并全程陪同。
  2. 安全通信网络
    • 网络架构采用冗余设计,核心交换设备启用VLAN划分及MAC地址绑定。
    • 互联网出口部署入侵防御系统(IPS)及流量清洗设备,阻断已知攻击流量。
  3. 安全区域边界
    • 内外网边界部署下一代防火墙,配置ACL策略(仅开放必要端口)。
    • 部署网络审计系统,记录所有跨区域访问行为并留存日志≥6个月。
  4. 安全计算环境
    • 服务器及终端启用强密码策略(长度≥8位,含大小写字母、数字及特殊字符)。
    • 数据库实施访问控制,敏感数据加密存储(符合GM/T 0054-2018《密码应用规范》)。
    • 定期对系统漏洞扫描,高危漏洞修复周期≤7个工作日。
  5. 安全管理中心
    • 部署统一日志审计平台,集中采集网络设备、安全设备、业务系统日志,留存周期≥12个月。
    • 建立安全事件应急响应流程,明确上报机制(参照《网络安全事件应急预案》)。

(二)管理要求

  1. 安全管理制度
    • 制定《网络安全管理办法》《数据分类分级指南》等制度,每年至少修订一次并组织全员培训。
  2. 安全管理机构
    • 设立网络安全专职岗位,明确领导小组、信息中心、业务部门三级管理职责(附件2:《责任书模板》)。
  3. 人员安全管理
    • 关键岗位人员(系统管理员、安全审计员)入职前需通过背景审查,签订保密协议。
    • 每季度开展网络安全意识培训,覆盖率100%。
  4. 系统建设管理
    • 新建系统需通过等保安全设计方案评审,上线前完成渗透测试及代码审计。
  5. 系统运维管理
    • 运维操作需通过堡垒机执行,录屏日志留存≥6个月。
    • 建立变更管理制度,系统配置变更前需经信息中心审批并测试。

五、保障机制

  1. 经费保障 :测评及整改费用纳入年度网络安全专项预算(依据《国家网络安全专项资金管理办法》)。
  2. 问责机制 :对因失职导致重大安全隐患的部门或个人,依《网络安全责任追究制度》追责。

六、附件

  1. 附件1:《2025年等保测评任务分解表》
  2. 附件2:《网络安全责任书(模板)》
  3. 附件3:《信息系统定级备案清单》
  4. 附件4:《立项审批表》
  5. 附件5:《招标过程记录表》
  6. 附件6:《验收报告模板》

XX单位网络安全等级保护工作领导小组办公室
2025年X月XX日

(联系人:XXX,联系电话:XXX-XXXXXXXX)