某医疗企业因未配置双因素认证,在等保三级测评中被一票否决。本文依据GB/T 22239-2019标准,通过对比表格揭示二级与三级的核心差异,助你快速定位98%的合规风险点。
一、技术安全自查表
1. 安全物理环境
| 检查项 | 等保二级要求 | 等保三级要求 | 检查方法 |
| 机房出入控制 | 电子门禁系统 | 电子门禁+生物识别 | 查看访客登记记录 |
| 防火系统 | 自动灭火装置 | 火情自动报警+气体灭火 | 检查消防验收报告 |
| 电磁防护 | 必要屏蔽措施 | 电磁屏蔽机柜+干扰器 | 现场测试电磁辐射值 |
2. 安全通信网络
| 检查项 | 等保二级 | 等保三级 | 示例场景 |
| 网络架构规划 | 重要网络区域划分 | 业务/数据/管理平面分离 | 查看网络拓扑图 |
| 通信加密 | 敏感数据加密传输 | 全流量加密(如IPSec VPN) | 抓包验证HTTPS覆盖率 |
| 网络审计 | 关键节点日志留存30天 | 全流量审计留存6个月 | 检查审计策略配置 |
3. 安全计算环境
| 检查项 | 二级要求 | 三级增强要求 | 典型配置 |
| 身份鉴别 | 口令复杂度策略 | 双因素认证 | 查看AD域策略 |
| 访问控制 | 用户权限分离 | 最小权限原则 | 检查RBAC配置 |
| 安全审计 | 重要操作日志记录 | 全量操作审计+行为分析 | 验证审计日志完整性 |
| 入侵防范 | 基础防火墙规则 | IDS/IPS联动防护 | 检查IPS规则库版本 |
| 恶意代码防范 | 单机防病毒软件 | 集中管控+云查杀 | 查看病毒库更新记录 |
二、安全管理自查表
1. 安全管理制度
| 检查维度 | 二级要求 | 三级要求 | 常见问题 |
| 制度发布 | 形成书面文档 | 全员签署确认 | 存在制度未传达到位 |
| 评审修订 | 每年至少1次评审 | 每半年评审+重大变更修订 | 修订记录缺失 |
2. 人员安全管理
| 关键项 | 二级标准 | 三级标准 | 检查证据 |
| 背景审查 | 关键岗位人员审查 | 全员背景审查 | 查看背调报告 |
| 保密协议 | 关键岗位签署 | 全员签署 | 检查协议签署记录 |
| 离职管理 | 及时禁用账号 | 账号禁用+权限回收审计 | 查看最近离职流程 |
3. 安全建设管理
| 生命周期 | 二级控制点 | 三级增强项 | 实施要点 |
| 系统定级 | 自主定级 | 专家评审定级 | 查看定级报告 |
| 供应商管理 | 签订安全协议 | 供应商安全能力审计 | 检查供应商评估表 |
三、特别差异项(三级独有)
| 核心要求 | 检查标准 | 合规示例 |
| 集中管控 | 建立统一安全管理中心 | 部署SOC平台集成各类安全设备 |
| 渗透测试 | 每年至少1次渗透测试 | 出具CNAS认可机构测试报告 |
| 应急演练 | 每半年开展实战攻防演练 | 留存演练录像及整改报告 |
| 重要数据备份 | 异地实时备份+每月恢复测试 | 查看备份验证记录 |
四、典型扣分项TOP5
- 1. 身份鉴别缺失(三级必配双因素认证)
- 2. 日志留存不足(三级需全量存储6个月)
- 3. 应急预案缺失(三级要求2小时内响应)
- 4. 供应商失控(三级需审计外包服务商)
- • 处罚实例:某银行因外包人员违规操作被罚200万
- 5. 安全培训不足(三级要求每年≥16学时)
等保三级较二级新增37个控制点,在身份鉴别、审计追溯、应急响应等方面提出更高要求。据2023年测评数据,90%的不合规项集中在双因素认证、日志留存、渗透测试三个维度。
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。