东莞网站等保测评二级需要哪些材料？

东莞网站等保二级测评材料可分为备案提交（公安网安）与测评实施（第三方测评机构）两类，核心材料按基础资质、定级备案、系统技术、安全管理、测评佐证等维度整理，以下为可直接落地的完整清单：

一、企业基础资质材料（备案+测评通用）

1.营业执照副本复印件（加盖公章，经营范围与网站业务匹配）。

2.法人身份证正反面复印件（盖章，标注“仅用于等保备案/测评”）。

3.授权委托书（明确经办人权限）及经办人身份证复印件（同标注）。

4.若系统托管/上云，需IDC或云服务商出具的运维确认函、托管协议（加盖双方公章）。

5.法人签字并盖章的测评承诺书（承诺合规测评与整改）。

二、定级与备案核心文件（向东莞公安网安提交）

1.《信息系统安全等级保护备案表》：线上填报后打印，法人签字、单位盖章；二级系统一式两份（纸质+电子档）。

2.《信息系统安全等级保护定级报告》：含业务描述、资产清单、威胁分析、定级理由、边界定义，需单位内部定级委员会签字确认。

3.系统网络拓扑图（标注安全域划分、边界设备型号、IP段、内外网数据流向，与资产清单一致）。

三、系统技术类材料（测评机构现场核查）

1.资产清单：硬件（服务器、网络/安全设备）、软件（操作系统、中间件、应用版本与补丁）、数据资产（敏感数据分类）清单，注明责任人与位置。

2.安全产品证明：防火墙、WAF、堡垒机、IDS/IPS、加密设备等的认证证书、销售许可证或合规检测报告。

3.技术配置佐证：访问控制策略、口令复杂度配置、日志审计（留存≥6个月）、数据加密（敏感信息）、备份恢复策略等的截图/配置文档。

4.漏洞与整改记录：漏洞扫描报告、渗透测试报告、整改方案及完成证明（含复测通过记录）。

5.物理安全材料：机房门禁、7×24小时监控（≥90天）、UPS、消防设施等现场照片及运维记录。

四、安全管理类材料（制度+执行记录）

1.安全管理制度汇编：含安全方针、网络/主机/应用安全管理、账号权限、数据备份、应急响应、人员安全、培训考核等制度（有版本号、审批人、生效日期）。

2.人员与责任文件：安全责任书、岗位职责说明书、关键岗位背景审查与离岗交接记录。

3.运维与应急记录：系统变更、值班日志、运维工单、应急演练方案与总结、安全事件处置报告。

4.培训与审计记录：安全培训签到/考核、日志审计报告、权限变更审批单等。

五、数据与隐私合规材料（涉及用户信息时必备）

1.隐私政策、用户协议（公开可查，符合个人信息保护法要求）。

2.数据备份与恢复记录：本地+异地备份策略、恢复演练报告、备份日志（留存≥6个月）。

3.脱敏/加密证明：敏感数据（身份证、手机号）脱敏或AES-256等加密存储的技术文档。

六、现场测评补充材料

1.物理安全现场照片：门禁、监控、消防、UPS、防水/防雷设施等。

2.操作日志与审计记录：操作系统、数据库、应用系统、安全设备的操作日志（可追溯、不可篡改）。

3.整改闭环材料：自查问题清单、整改计划、复测报告，证明风险已闭环。

提交要点

-所有复印件需加盖公章，手写标注用途并签字；电子档按PDF格式整理归档。

-二级系统无需专家评审意见（三级及以上才需），但建议内部完成定级评审留痕。

-东莞可通过广东政务服务网“一网通办”提交线上预审，再到属地公安网安窗口递交纸质材料。