( 单位) 系统 等级保护三级测评 现场检测表 测试对象范围：安全管理 测试对象名称：系统建设安全 配合人员签字： 测试人员签字： 核实人员签字： 测试日期：等级保护现场检测表 结果统计: 测评项 测评结果 1系统定级 □符合 □部分符合 □不符合 2安全方案设计 □符合 □部分符合 □不符合 3产品采购 □符合 □部分符合 □不符合 4自行软件开发 □符合 □部分符合 □不符合 5外包软件开发 □符合 □部分符合 □不符合 6工程实施 □符合 □部分符合 □不符合 7测试验收 □符合 □部分符合 □不符合 8系统交付 □符合 □部分符合 □不符合 9系统备案 □符合 □部分符合 □不符合 10安全服务商选择 □符合 □部分符合 □不符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类系统建设管理 测 试 项系统定级 测试要求： 1.应明确信息系统划分的方法； 2.应确定信息系统的安全保护等级； 3.应以书面的形式定义确定了安全保护等级的信息系统的属性，包括 使命、 业务、 网络、 硬 件、软件、数据、边界、人员等； 4.应以书面的形式说明确定一个信息系统为某个安全保护等级的方法和理由； 5.应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证 和审定； 6.应确保信息系统的定级结果经过相关部门的批准。 测试记录： 1.划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导 ? 否 □ 是 □ 〇是否对其进行明确描述 ? 否 □ 是 □ 〇是否组织相关部门和有关安全技术专家对定级结果进行论证和审定 ? 否 □ 是 □ 〇定级结果是否获得了相关部门（如上级主管部门）的批准 ? 否 □ 是 □ 2.系统划分文档是否明确描述信息系统划分的方法和理由 ? 否 □ 是 □ 3.系统定级文档: 〇是否给出信息系统的安全保护等级 ? 否 □ 是 □ 〇是否明确描述确定信息系统为某个安全保护等级的方法和理由 ? 否 □ 是 □ 第 2 页 共 12 页等级保护现场检测表 〇是否给出安全等级保护措施组成 SxAyGz值?( 安全措施包括S(信息安全类)、A(服务保 证类)、G(通用安全保护类)三类，xyz代表级别,即1-5级) 否 □ 是 □ 〇定级结果是否有相关部门的批准盖章 ? 否 □ 是 □ 4.专家论证文档是否有专家对定级结果的论证意见 ? 否 □ 是 □ 5.系统属性说明文档是否明确了系统 使命、业务、网络、硬件、软件、数据、边界、人员等 ? 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1、测试记录1中没有上级主管部门的，如果有安全主管的批准，则该项为肯定； 2、测试记录2-5项全部符合即视为符合 . 测试类别等级测评（三级） 测试对象安全管理 测 试 类系统建设管理 测 试 项安全方案设计 测试要求： 1.应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施； 2.应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全 建设工作计划； 3.应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框 架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件； 4.应组织相关部门和有关安全技术专家对总体安全策略、 安全技术框架、 安全管理策略、 总 体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定； 5.应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文 件必须经过批准，才能正式实施； 6.应根据安全测评、 安全评估的结果定期调整和修订总体安全策略、 安全技术框架、 安全管 理策略、总体建设规划、详细设计方案等相关配套文件。 测试记录： 1.访谈安全主管，询问是否授权专门的部门对信息系统的安全建设进行总体规划？ 否 □ 是 □ 〇由何部门/何人负责？ 2.是否制定近期和远期的安全建设工作计划？ 否 □ 是 □ 〇是否根据系统的安全级别选择基本安全措施？ 否 □ 是 □ 〇是否依据风险分析的结果补充和调整安全措施， 否 □ 是 □ 〇做过哪些调整？ 3.是否根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术 第 3 页 共 12 页等级保护现场检测表 框架、安全管理策略、总体建设规划和详细设计方案等？ 否 □ 是 □ 4.是否组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略 等相关配套文件进行论证和审定？ 否 □ 是 □ 〇是否经过管理部门的批准？ 否 □ 是 □ 5.是否根据安全测试、 安全评估的结果定期调整和修订总体安全策略、 安全技术框架、 安全 管理策略、总体建设规划、详细设计方案等相关配套文件？ 否 □ 是 □ 〇维护周期 多长？ 6.检查系统的安全建设工作计划， 查看是否明确了系统的近期安全建设计划和远期安全建 设计划？ 否 □ 是 □ 7.系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套 文件是否有 机构管理层的批准？ 否 □ 是 □ 8.检查专家论证文档， 查看是否有相关部门和有关安全技术专家对总体安全策略、安全技 术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见？ 否 □ 是 □ 9.是否具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等 相关配套文件的维护记录 或修订版本？ 否 □ 是 □ 〇查看记录日期 与维护周期是否一 致？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-9项全部符合即视为符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类系统建设管理 测 试 项产品采购 测试要求： 1.应确保安全产品的使用符合 国家的有关规定； 2.应确保密码产品的使用符合 国家密码主管部门的要求； 3.应指定或授权专门的部门负责产品的采购； 4.应制定产品采购方面的管理制 度明确说明采购过程的 控制方法和人员行为准则； 5.应预先对产品进行选 型测试，确定产品的 候选范围，并定期审定和 更新候选产品名 单； 测试记录： 1.是否有专门的部门负责产品的采购？ 否 □ 第 4 页 共 12 页等级保护现场检测表 是 □ 〇由何部门负责？ 2.系统信息安全产品的采购情况： 〇采购产品 前是否预先对产品进行选 型测试确定产品的 候选范围？ 否 □ 是 □ 〇是否有产品采购 清单指导产品采购？ 否 □ 是 □ 〇采购过程如何 控制？ 〇是否定期审定和 更新候选产品名 单？ 否 □ 是 □ 〇审定周期 多长？ 3.访谈系统建设负责人，询问系统是否采用了 密码产品？ 否 □ 是 □ 〇密码产品的使用是否符合 国家密码主管部门的要求？ 否 □ 是 □ 4.检查产品采购管理制 度，查看是否明确采购过程的 控制方法（如采购 前对产品做选 型测 试，明确 需要的产品性能指 标，确定产品的 候选范围，通过 招投标方式确定采购产品 等）和人员行为准则等方面？ 否 □ 是 □ 5.系统使用的有关信息安全产品（边界安全设备、 重要服务器操作系统、数据 库等）是否 符合国家的有关规定？ 否 □ 是 □ 6.密码产品的使用情况是否符合 密码产品使用、管理的相关规定 (例如《商用密码管理条 例》规定任何单位只能使用经过 国家密码管理机构认可的商用密码产品，商用 密码产品 发生故障，必须有 国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码 管理机构备案，《计算机信息系统保 密工作暂行规定》规定涉密系统配置合格的保密专 用设备， 所采取的保密措施应与所处理信息的 密级要求相一 致等)？ 否 □ 是 □ 7.是否具有产品选 型测试结果记录、 候选产品名 单审定记录 或更新的候选产品名 单？ 否 □ 是 □