等保三级基线要求判分标准.xlsx

安全层面 控制点 要求项 0分标准 5分标准物理安全 物理位置的选择 a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；1）机房出现以下一种或多种情况：a.雨水渗透痕迹b.风导致的较严重尘土c.屋顶、墙体、门窗或地面等破损开裂1）机房和办公场地场所在建筑物具有建筑物抗震设防审批文档2）机房和办公场地未出现以下情况：a.雨水渗透痕迹b.风导致的较严重尘土c.屋顶、墙体、门窗或地面等破损开裂物理安全 物理位置的选择b）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁1）机房部署在以下位置：a.建筑物的高层b.地下室c.用水设备的下层或隔壁2）机房未采取防水和防潮措施1）机房未部署在以下位置：a.建筑物的高层b.地下室c.用水设备的下层或隔壁2）机房已采取防水和防潮措施物理安全 物理访问控制 a）机房出入口应有专人值守，控制、鉴别和记录进入的人员 1）机房存在无人值守的出入口1）机房所有出入口都有专人值守2）对所有进入机房的人员进行鉴别和记录，并保存记录物理安全 物理访问控制b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围1）来访人员无需申请审批即可进入机房。

2）进入机房后未采取专人陪同或视频监控等手段限制和监控来访人的行为1）来访人员需进行申请审批后才能进入机房，且保存申请审批记录2）申请审批记录应至少明确来访人员的姓名、时间、来访目的3）应专人陪同来访人员进入机房，对其行为进行限制和监控物理安全 物理访问控制c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域1）机房无物理隔离装置1）机房已划分区域2）机房各区域间设置了有效的物理隔离装置3）机房重要区域前已设置交付或安装等过渡区域物理安全 物理访问控制 d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员 1）机房重要区域未配置电子门禁系统1）机房重要区域配置的电子门禁系统2）电子门禁系统正常工作，可对进入人员进行控制、鉴别和记录3）电子门禁系统有运行和维护记录物理安全 防盗窃和防破坏 a）应将主要设备放置在机房内 1）主要设备存在未放置在机房内的情况 1）主要设备均放置在机房物理安全 防盗窃和防破坏 b）应将设备或主要部件进行固定，并设置明显的不易除去的标记 1）设备或主要部件未上架或上架未固定2）设备或主要部件无标签 1）设备或主要部件均已上架并固定。

2）设备或主要部件均有标签物理安全 防盗窃和防破坏 c）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中 1）通信线缆未在地下、桥架或管道中 1）通信线缆均铺设在地下或管道中等隐蔽处物理安全 防盗窃和防破坏 d）应对介质分类标识，存储在介质库或档案室中1）介质未分类2）介质未标识3）介质存储无固定场所1）介质进行了合理分类2）介质进行了明确标识3）介质存储在介质库或档案室等专用场所内物理安全 防盗窃和防破坏 e）应利用光、电等技术设置机房的防盗报警系统 1）机房无防盗报警系统1）机房配置了防盗报警系统2）防盗报警系统正常工作，可利用光、电等技术进行报警，并保存报警记录3）防盗报警系统有运行和维护记录物理安全 防盗窃和防破坏 f）应对机房设置监控报警系统 1）机房无监控系统1）机房配置了监控报警系统2）监控报警系统正常工作，可进行监控和报警，并保存监控报警记录3）监控报警系统有运行和维护记录物理安全 防雷击 a）机房建筑应设置避雷装置 1）机房建筑未设置避雷装置1）机房建筑设置避雷装置2）避雷装置有通过验收或国家有关部门的技术检测物理安全 防雷击 b）应设置防雷保安器，防止感应雷 1）机房未设置防雷保安器。

1）机房设备有设置防雷保安器2）防雷保安器通过具有防雷检测资质的检测部门的测试物理安全 防雷击 c）机房应设置交流电源地线 1）机房未设置交流电源地线 1）机房有设置交流电源地线2）交流电源接地检测结果符合要求物理安全 防火a）机房应设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火1）机房无火灾消防系统1）机房设置自动检测火情、自动报警、自动灭火的自动消防系统2)自动消防系统经消防检测部门检测合格，自动消防系统在有效期内，处于正常运行状态3）自动消防系统有运行记录、定期检查和维护记录物理安全 防火 b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料 1）机房及相关的工作房间和辅助房没有采用具有耐火等级的建筑材料1）机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料2）耐火等级建筑材料有相关合格证或验收文档物理安全 防火 c）机房应采取区域隔离防火措施，将重要设备与其他设备隔离开 1）重要设备所在区间与其他区域没有防火隔离设施 1）重要设备所在区间与其他区域设有防火隔离设施物理安全 防水和防潮 a）水管安装，不得穿过机房屋顶和活动地板下 1）机房屋顶或活动地板下面有水管。

2）机房无防水保护措施 1）机房屋顶屋顶和活动地板下无水管穿过2）机房采取了防水保护措施物理安全 防水和防潮 b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透1）机房出现以下一种或多种情况：a.机房窗户、屋顶或墙壁有雨水渗透痕迹b.屋顶、外墙体、窗户有明显破损1）机房不存在以下情况：a.机房窗户、屋顶或墙壁有雨水渗透痕迹b.屋顶、外墙体、窗户有明显破损2）机房采取了防止雨水渗透的保护措施物理安全 防水和防潮 c）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透1）机房出现以下一种或多种情况：a.机房内出现水蒸气结露b.机房内出现积水转移和渗透1）机房不存在以下情况：a.机房内出现水蒸气结露b.机房内出现积水2）机房采取了防止水蒸气结露的保护措施3）机房采取了防止积水转移和渗透的保护措施物理安全 防水和防潮 d）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警 1）机房没有水敏感的检测仪表或元件1）机房安装了水敏感的检测仪表或元件2）水敏感的检测仪表或元件正常工作，可进行防水检测和报警，并保存检测盒报警记录3）水敏感的检测仪表或元件有运行和维护记录物理安全 防静电 a）主要设备应采用必要的接地防静电措施。

1）机房没有接地防静电措施 1）机房有接地防静电措施物理安全 防静电 b）机房应采用防静电地板 1）机房没有采用防静电地板 1）机房采用防静电地板2）机房不存在静电现象物理安全 温湿度控制a）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内1）机房没有配置温、湿度自动调节设施1）机房配备了温、湿度自动调节设施2）温、湿度自动调节设施正常工作，可保证机房内的温、湿度达到运行要求3）温、湿度自动调节设施有运行和维护记录物理安全 电力供应 a）应在机房供电线路上设置稳压器和过电压防护设备 1）机房没有设置稳压器2）机房没有过电压防护设备1）机房配备了稳压器和过电压防护设备2）稳压器和过电压防护设备正常工作3）稳压器和过电压防护设备有运行和维护记录物理安全 电力供应b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求1）机房没有UPS1）机房配备了UPS2）UPS正常工作，可满足主要设备断电情况下的正常运行要求3）UPS有运行和维护记录物理安全 电力供应 c）应设置冗余或并行的电力电缆线路为计算机系统供电 1）机房内未设置冗余或并行的电力电缆线路。

1）机房配备了冗余或并行的电力电缆线路2）冗余或并行的电力电缆线路均可正常为计算机系统供电物理安全 电力供应 d）应建立备用供电系统 1）未配备发电机作为备用供电系统1）配备了发电机作为备用供电系统2）备用供电系统正常工作，可在电力供应故障的情况下对机房及设备等供电3）备用供电系统有运行和维护记录物理安全 电磁防护 a）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰 1）机房中的机架或机柜没有进行接地 1）机房中全部机架或机柜均进行了有效的接地物理安全 电磁防护 b）电源线和通信线缆应隔离铺设，避免互相干扰 1）机房电源线和通信线缆在同槽内进行铺设 1）机房电源线和通信线缆未在同槽内进行铺设物理安全 电磁防护 c）应对关键设备和磁介质实施电磁屏蔽 1）核心数据库服务器、关键磁介质未放置在屏蔽机房或电子屏蔽容器内 1）核心数据库服务器、关键磁介质放置在屏蔽机房或电子屏蔽容器内网络安全 结构安全a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；1） 在 测 评 期 间 ， 多 次 查 到 主 要 网 络 设 备 CPU负载峰值长期超过 90%1） 主 要 网 络 设 备 近 一 年 内 的 CPU负 载 峰 值 均 低 于60%网络安全 结构安全 b) 应保证网络各个部分的带宽满足业务高峰期需要； 1） 核 心 网 络 带 宽 在 业 务 高 峰 期 占 用 均 超 过90% 1） 接 入 网 络 和 核 心 网 络 带 宽 在 业 务 高 峰 期 占 用低于6 0%。

网络安全 结构安全 c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 1） 未 在 业 务 终 端 与 业 务 服 务 器 端 进 行 任 何路由控制1） 业 务 终 端 和 业 务 服 务 器 分 别 放 置 在 不 同 的 子网 采 用 静 态 路 由 的 方 式 进 行 路 由 控 制 建 立 安 全 的访问路径网络安全 结构安全 d) 应绘制与当前运行情况相符的网络拓扑结构图； 1）未绘制网络拓扑图 1） 绘 制 的 网 络 拓 扑 图 与 当 前 运 行 情 况 的 网 络 拓扑结构图完全一致网络安全 结构安全e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；1） 查 看 网 络 拓 扑 图 和 设 备 区 域 划 分 情 况 ，未根据需要划分不同的子网或网段1） 根 据 各 部 门 的 工 作 职 能 、 重 要 性 和 所 涉 及 信息的重要程度等因素，划分不同的子网或网段；2） 按 照 方 便 管 理 和 控 制 的 原 则 为 各 子 网 、 网 段分 配 地 址 段 , 生 产 网 、 互 联 网 、 办 公 网 各 网 段 之间实现有效控制策略。

网络安全 结构安全f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；1） 将 数 据 库 等 重 要 网 段 部 署 在 网 络 边 界 处且直接连接外部信息系统；2） 重 要 网 段 与 其 他 网 段 没 有 可 靠 的 隔 离 措施1） 重 要 网 段 不 直 连 外 网 ， 且 处 于 恰 当 的 网 络 区域；2） 重 要 网 段 与 其 他 网 段 之 间 根 据 业 务 需 求 采 取网 闸 、 防 火 墙 、 ACL或 划 分 VLAN等 隔 离 手 段 进 行隔离网络安全 结构安全g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机1） 未 采 取 网 络 QoS或 专 用 带 宽 管 理 设 备 等 措施保护重要服务和主机1） 对 所 有 业 务 确 定 重 要 性 、 优 先 级 ， 制 定 业 务相关带宽分配原则及相应的带宽控制策略；2） 根 据 安 全 需 求 ， 采 取 网 络 QoS或 专 用 带 宽 管 理设备等措施保护重要服务和主机网络安全 访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； 1） 网 络 边 界 处 未 部 署 访 问 控 制 设 备 或 者 已部署访问控制设备但未启用访问控制功能 1） 网 。