( 单位) 系统 等级保护二级测评 现场检测表 测试对象范围：安全管理 测试对象名称：系统建设管理 配合人员签字： 测试人员签字： 核实人员签字： 测试日期：等级保护现场检测表 结果统计: 测评项 测评结果 1系统定级 □符合 □部分符合 □不符合 2安全方案设计 □符合 □部分符合 □不符合 3产品采购 □符合 □部分符合 □不符合 4自行软件开发 □符合 □部分符合 □不符合 5外包软件开发 □符合 □部分符合 □不符合 6工程实施 □符合 □部分符合 □不符合 7测试验收 □符合 □部分符合 □不符合 8系统交付 □符合 □部分符合 □不符合 9安全服务商选择 □符合 □部分符合 □不符合 测试类别等级测评（二级） 测试对象安全管理 测 试 类系统建设管理 测 试 项系统定级 测试要求： 1.应明确信息系统划分的方法； 2.应确定信息系统的安全保护等级； 3.应以书面的形式定义确定了安全保护等级的信息系统的属性，包括 使命、 业务、 网络、 硬 件、软件、数据、边界、人员等； 4.应确保信息系统的定级结果经过相关部门的批准。 测试记录： 1.访谈安全主管，询问划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级 指南的指导: 否 □ 是 □ 是否对其进行明确描述 : 否 □ 是 □ 定级结果是否获得了相关部门（如上级主管部门）的批准 : 否 □ 是 □ 2.检查系统划分相关文档，查看文档是否明确描述信息系统划分的方法和理由 : 否 □ 是 □ 3.检查系统定级文档，查看文档是否给出信息系统的安全保护等级 : 否 □ 是 □ 是否给出安全等级保护措施组成 SxAyGz值: 否 □ 是 □ 查看定级结果是否有相关部门的批准盖章 : 否 □ 是 □ 4.检查系统属性说明文档，查看文档是否明确了系统使命、业务、网络、硬件、软件、数据、边 界、人员等: 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 第 2 页 共 9 页等级保护现场检测表 备注： a)1没有上级主管部门的，如果有安全主管的批准，则该项为肯定； b)1-4均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 测试对象安全管理 测 试 类系统建设管理 测 试 项安全方案设计 测试要求： 1.应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施； 2.应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方 案； 3.应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案； 4.应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定； 5.应确保安全设计方案必须经过批准，才能正式实施。 测试记录： 1.访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施 : 否 □ 是 □ 是否依据风险分析的结果补充和调整安全措施 : 否 □ 是 □ 做过哪些调整: 2.访谈系统建设负责人，询问是否制定系统的安全方案并根据安全方案制定出系统详细设计方 案指导安全系统建设和安全产品采购 : 否 □ 是 □ 是否组织相关部门和有关安全技术专家对安全设计方案进行论证和审定 : 否 □ 是 □ 安全设计方案是否经过安全主管领导或管理层的批准 : 否 □ 是 □ 3.检查系统的安全方案，查看方案是否描述系统的安全保护要求 : 否 □ 是 □ 是否详细描述了系统的安全策略 : 否 □ 是 □ 是否详细描述了系统对应的安全措施等内容 : 否 □ 是 □ 4.检查系统的详细设计方案，查看详细设计方案是否对应安全方案进行细化 : 否 □ 是 □ 是否有安全建设方案和安全产品采购方案 : 否 □ 是 □ 查看方案是否有经过安全主管领导或管理部门的批准盖章 : 否 □ 是 □ 5.检查专家论证文档，查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见 : 否 □ 是 □ 第 3 页 共 9 页等级保护现场检测表 测试结果： □符合 □部分符合 □不符合 备注： 1-5均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 测试对象安全管理 测 试 类系统建设管理 测 试 项产品采购 测试要求： 1.应确保安全产品的使用符合国家的有关规定； 2.应确保密码产品的使用符合国家密码主管部门的要求； 3.应指定或授权专门的部门负责产品的采购。 测试记录： 1.访谈安全主管，询问是否有专门的部门负责产品的采购 : 否 □ 是 □ 由何部门负责: 2.访谈系统建设负责人，询问系统信息安全产品的采购情况，是否有产品采购清单指导产品采 购: 否 □ 是 □ 采购过程如何控制: 3.访谈系统建设负责人，询问系统是否采用了密码产品 : 否 □ 是 □ ○密码产品的使用是否符合国家密码主管部门的要求 : 否 □ 是 □ 4.检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系统、数据库等）是否 符合国家的有关规定 : 否 □ 是 □ 5.检查密码产品的使用情况是否符合密码产品使用、 管理的相关规定，如 《商用密码管理条例》 规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故 障，必须有国家密码管理机构指定的单位 维修，报废商用密码产品应 向国家密码管理机构备 案等: 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： a)如果3访谈说明没有采用密码产品，则测评实施 3、5为不适用； b)1-5均为肯定，则信息系统符合本单元测评项要求。 第 4 页 共 9 页测试类别等级测评（二级） 测试对象安全管理 测 试 类系统建设管理 测 试 项自行软件开发 测试要求： 1.应确保开发 环境与实际运行环境物理分开； 2.应确保系统开发文档由专人负责保管，系统开发文档的使用 受到控制； 3.应确保提供软件设计的相关文档和使用指南。 测试记录： 1.访谈系统建设负责人，询问系统是否自主开发软件 : 否 □ 是 □ ○自主开发是否有相应的控制措施 : 否 □ 是 □ ○是否在独立的模拟环境中编写、调试和 完成: 否 □ 是 □ 2.访谈系统建设负责人，询问系统开发文档是否由专人负责保管 : 否 □ 是 □ 负责人是何人: 如何控制使用（如 限制使用人员范围并做使用 登记等）: 3.检查是否 具有软件设计的相关文档（应用软件设计程 序文件、源代码文档等）和软件使用指 南或操作 手册和维护手册等: 否 □ 是 □ 4.检查软件开发 环境与系统运行环境在物理上是否是分开的: 否 □ 是 □ 5.检查是否 具有系统开发文档的使用控制记录 : 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1-5均为肯定，则信息系统符合本单元测评项要求 测试类别等级测评（二级） 测试对象安全管理 测 试 类系统建设管理 测 试 项外包软件开发 测试要求： 1.应与软件开发单位签 订协议，明确知识产权的归属和安全方面的要求； 2.应根据协议的要求检测软件 质量； 3.应在软件安装之前检测软件包 中可能存在的恶意代码； 4.应要求开发单位 提供软件设计的相关文档和使用指南。等级保护现场检测表 测试记录： 1.访谈系统建设负责人，询问 在外包软件 前是否对软件开发单位以书面文档形式（如软件开发 安全协议）规范软件开发单位的责任、开发过程 中的安全行为、开发 环境要求和软件 质量等 相关内容: 否 □ 是 □ 是否具有能够独立的对软件进行日 常维护和使用 所需的文档: 否 □ 是 □ 2.访谈系统建设负责人，询问软件交付 前是否依据开发 协议的技术指 标对软件功能和性能等进 行验收检测: 否 □ 是 □ ○验收检测是否是由开发商和 委托方共同参与: 否 □ 是 □ 软件安装之前是否检测软件 中的恶意代码: 否 □ 是 □ ○检测工 具是否是第 三方的商业产品: 否 □ 是 □ 3.检查软件开发 协议是否规定 知识产权归属、安全行为等内容 : 否 □ 是 □ 4.检查是否 具有需求分析说明书、软件设计说明书