建等保三有什么要求

对于等级保护建设想要达到三级，需要参考国家GB/T 22239-2008《信息系统安全等级保护基本要求》还有实施指南、测评要求等等一系列相关规范文件。详细内容就不一一回答了，但有几个在等级保护建设中的重要要求需要特别注意，一般业主方都会根据GA/T483-2004《计算机信息系统安全 等级保护工程管理要求》这个文件来对等级保护建设工作的各参与方做资格性要求，有如下几点：
第一，对于承建等保建设项目的公司、企业单位有要求，要求其具备《计算机信息系统企业集成资质证书》，因国家对于等级保护建设的性质定义为计算机信息系统集成类工程，所以要求等级保护承建单位必须具备该项资质认证。
第二，对于等级保护测评服务机构或单位有要求，要求其具备公安部认可的测评服务单位资质认证。公安部对具备测评能力的企业授予了等级保护测评资质认证，只有具备该资质认证的企业才能对等级保护建设业主单位进行测评，所出具的测评报告才能具备等级保护测评效力。
第三，对于测评机构的测评人员有要求，要求其具备公安部认可的等级保护测评服务人员资格认证，并且最终的测评报告也必须由具备该项资格认证的技术人员出具才具备效力。
第四，对于安全产品资质有要求，必须为国产品牌产品，且具备信息安全专用产品销售许可证。只有具备公安部颁发的信息安全专用产品销售许可证的安全产品才能够通过等级保护测评并进行备案。无该项资质证书的安全产品不符合国家标准，更不能通过等级保护测评。另外，安全产品的操 作系统要求符合保护等级操作系统同级要求，安全产品的操作系统也必须使用自主研发的安全操作系统，不能使用普通操作系统或未经加固的操作 系统。
最后，对于安全产品制造厂商，虽然没有硬性明确要求，但是考虑到等级保护建设需要安全产品厂商提供高质量的产品、技术和服务才能保障等级保护 测评的顺利通过，所以一般要求安全产品制造厂商为国内主流品牌，能够提供全面的产品线（同一品牌设备），具备安全行业内的相关资质认证。比较重要的认证有以下几个：
1）《计算机信息系统企业集成资质证书》，在等级保护建设中，集成商不具备独立完成等级保护建设集成工作的能力，必须由安全产品制造商协助其完成，所以要求安全产品制造商同样需要具备该资格认证。
2）《涉及国家秘密的信息系统集成资质证书（甲级）》，等级保护建设是信息安全类工程，安全产品在实施和后期使用中可能涉及到业主单位的秘密信息或数据，所以要求安全产品制造商具备涉密信息系统集成甲级资质，保障业主单位的安全产品供应商具备可信的信息保密能力。
3）《信息安全服务资质证书（安全工程类二级）》，等级保护建设项目包含安全服务类产品和工作，包括测评，安全加固，应急处理，安全培训，安全咨询等，而集成商不具备专业的安全服务技术能力，需由安全产品制造商的专业安全技术人员完成，所以针对安全产品制造商要求具备该资格认证。
4）微软MAPP组织成员以及CSA云安全联盟成员。微软MAPP组织全称：Microsoft Active Protections Program，CSA云安全联盟组织全称：Cloud Security Alliance，MAPP及CSA均是国际权威的第三方信息安全漏洞发布机构和安全解决方案提供机构，作为该组织成员的安全企业，可以在全球 第一时间获取各类安全漏洞信息并提供修补方案给使用该企业产品的用户。所以，鉴于目前我国主流操作系统和主要应用系统均采用微软、oracle 等国外品牌产品，为了业主单位能够防御最新的安全威胁和获取最及时的信息安全保障技术，要求安全产品制造商为MAPP成员以及CSA成员。

等保三级的基本要求：
1、物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。
2、网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
等保三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤。
3、主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。等保三级要求主要增强点：身份鉴别要求对管理用户采用组合鉴别技术。
4、应用安全：包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
三级要求主要增强点：身份鉴别要求组合鉴别技术；访问控制和安全审计基本同主机安全增强要求；要求对通信过程中的整个报文或会话过程进行加密。
5、数据安全：包括数据完整性和保密性、数据的备份和恢复。
等保三级要求主要增强点：对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复，采用加密或其他有效措施实现以上数据传输和存储的保密性；提供异地数据备份等。