等保-高风险判断指引

1. 安全物理环境

序号	描述	适用等级
1	机房出入口访问控制措施缺失	二级以上
2	机房防盗措施缺失	三级以上
3	机房防火措施缺失	二级以上
4	机房短期备用电力供应措施缺失	二级以上
5	机房应急供电措施缺失	四级以上
6	云计算基础设施物理位置不当	二级以上

2. 安全通信网络

序号	描述	适用等级
1	网络设备业务处理能力不足	三级以上
2	网络区域划分不当	二级以上
3	网络边界访问控制设备不可控	二级以上
4	重要网络区域边界访问控制措施缺失	二级以上
5	关键线路和设备冗余措施缺失	三级以上
6	云计算云平台等级低于承载业务系统等级	二级以上
7	重要数据传输完整性保护措施缺失	三级以上
8	重要数据明文传输	三级以上

3. 安全区域边界

序号	描述	适用等级
1	无线网络管控措施缺失	三级以上
2	重要网络区域边界访问控制配置不当	二级以上
3	外部网络攻击防御措施缺失	二级以上
4	内部网络攻击防御措施缺失	三级以上
5	恶意代码防范措施缺失	二级以上
6	网络安全审计措施缺失	二级以上

4. 安全计算环境

4.1 网络设备、安全设备和主机设备

序号	描述	适用等级
1	设备存在弱口令或相同口令	二级以上
2	设备鉴别信息防窃听措施缺失	二级以上
3	设备未采用多种身份鉴别技术	三级以上
4	设备默认口令未修改	二级以上
5	设备安全审计措施缺失	二级以上
6	设备审计记录不满足保护要求	二级以上
7	设备开启多余的服务、高危端口	二级以上
8	设备管理终端限制措施缺失	二级以上
9	互联网设备存在已知高危漏洞	二级以上
10	内网设备存在可被利用的高危漏洞	二级以上
11	恶意代码防范措施缺失	二级以上

4.2 应用系统

序号	描述	适用等级
1	应用系统口令策略缺失	二级以上
2	应用系统存在弱口令	二级以上
3	应用系统口令暴力破解防范机制缺失	二级以上
4	应用系统鉴别信息明文传输	二级以上
5	应用系统未采用多种身份鉴别技术	三级以上
6	应用系统默认口令未修改	二级以上
7	应用系统访问控制机制存在缺陷	二级以上
8	应用系统安全审计措施缺失	二级以上
9	应用系统审计记录不满足保护要求	二级以上
10	应用系统数据有效性检验功能缺失	二级以上
11	应用系统存在可被利用的高危漏洞	二级以上

4.3 数据安全

序号	描述	适用等级
1	重要数据传输完整性保护措施缺失	三级以上
2	重要数据明文传输	三级以上
3	重要数据存储保密性保护措施缺失	三级以上
4	数据备份措施缺失	二级以上
5	异地备份措施缺失	三级以上
6	数据处理系统冗余措施缺失	三级以上
7	未建立异地灾难备份中心	四级系统
8	鉴别信息释放措施失效	二级以上
9	敏感数据释放措施失效	三级以上
10	违规采集和存储个人信息	二级以上
11	违规访问和使用个人信息	二级以上
12	云服务客户数据和用户个人信息违规出境	二级以上

5. 安全管理中心

序号	描述	适用等级
1	运行监控措施缺失	三级以上
2	审计记录存储时间不满足要求	三级以上
3	安全事件发现处置措施缺失	三级以上

6. 安全管理制度和机构

序号	描述	适用等级
1	管理制度缺失	二级以上
2	未建立网络安全领导小组	三级以上

7. 安全管理人员

序号	描述	适用等级
1	未开展安全意识和安全技能培训	二级以上
2	外部人员接入网络管理措施缺失	二级以上

8. 安全建设管理

序号	描述	适用等级
1	违规采购和使用网络安全产品	三级以上
2	外包开发代码审计措施缺失	三级以上
3	上线前未开展安全测试	三级以上

9. 安全运维管理

序号	描述	适用等级
1	运维工具管控措施缺失	三级以上
2	设备外联管控措施缺失	三级以上
3	外来接入设备恶意代码检查措施缺失	二级以上
4	变更管理制度缺失	二级以上
5	数据备份策略缺失	二级以上
6	重要事件应急预案缺失	二级以上
7	未对应急预案进行培训演练	三级以上
8	云计算平台运维方式不当	二级以上