上海三级等保流程有哪些步骤？

　　三级等保流程有哪些要求？

　　三级等保流程的要求，主要包括物理、网络、主机、应用、数据五个方面的安全技术要
求，以及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方
面的安全管理要求。具体如下：

　　物理安全：机房应区域划分至少分为主机房和监控区两个部分；机房应配备电子门禁系
统、防盗报警系统、监控系统；机房不应该有窗户，应配备专用的气体灭火、备用发电机等
。

　　网络安全：应绘制与当前运行情况相符合的拓扑图；交换机、防火墙等设备配置应符合
要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制
策略，重要网络设备和服务器应进行IP/MAC绑定等；应配备网络审计设备、入侵检测或防御
设备；交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录
访问失败处理机制、用户角色和权限控制等；网络链路、核心网络设备和安全设备，需要提
供冗余性设计。

　　主机安全：服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审
计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；服务器（应用和数据库
服务器）应具有冗余性，例如需要双机热备或集群部署等；服务器和重要网络设备需要在上
线前进行漏洞扫描评估，不应有中别以上的漏洞（例如windows系统漏洞、apache等中
间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；应配备专用的日志服务器保存
主机、数据库的审计日志。

　　应用安全：应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存
储加密等；应用处应考虑部署网页防篡改设备；应用的安全评估（包括应用安全扫描、渗透
测试及风险评估），应不存在中风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马
、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；应用系统产生的日志
应保存至专用的日志服务器。

　　数据安全：应提供数据的本地备份机制，每天备份至本地，且场外存放；如系统中存在
核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份。

　　安全管理制度：根据《信息安全管理规范》等标准，制定符合企业或机构实际情况的安
全管理制度，包括信息安全政策、信息资产管理制度、人员安全管理制度、物理环境安全管
理制度、通信与运行管理制度、访问控制管理制度、信息系统获取开发与维护管理制度、信
息安全事故管理制度、业务持续性管理制度、合规性检查与审计管理

　　制度、信息安全管理责任制度等。

　　安全管理机构：应建立专门的信息安全管理机构，明确信息安全管理的职责、权限和流
程，配备的信息安全管理人员，定期进行信息安全培训和考核。

　　人员安全管理：应对涉及信息系统的人员进行身份鉴别和背景审查，签订保密协议，授
予相应的权限，定期进行权限审查和变更，实施离职交接和权限回收。

　　系统建设管理：应按照等保要求进行系统的需求分析、设计、开发、测试、验收等阶段
的管理，确保系统的安全性和可靠性。

　　系统运维管理：应按照等保要求进行系统的运行监控、维护更新、备份恢复、安全检查
、风险评估、应急处置等方面的管理，确保系统的正常运行和安全稳定。

　　三级等保流程有哪些步骤？

　　三级等保流程的步骤，主要包括以下几个：

　　定级：根据《信息系统安全等级划分指南》等标准，对信息系统进行安全等级划分，并
填写《信息系统定级报告》。

　　备案：将《信息系统定级报告》提交至主管部门或上级单位备案，并在国家网信办指定
的平台上进行在线备案。

　　整改：根据《信息系统安全保护基本要求》等标准，对信息系统进行自查自改，消除或
降低存在的安全风险，并填写《信息系统整改报告》。

　　测评：委托具有资质的第三方测评机构，对信息系统进行安全测评，并出具《信息系统
测评报告》。

　　检查：根据主管部门或上级单位的要求，接受或配合进行现场检查或远程检查，并提供
相关证明材料。