( 单位) 系统 等级保护二级测评 现场检测表 测试对象范围：安全管理 测试对象名称：安全管理制度 配合人员签字： 测试人员签字： 核实人员签字： 测试日期：等级保护现场检测表 结果统计: 测评项 测评结果 1管理制度 □符合 □部分符合 □不符合 2制定和发布 □符合 □部分符合 □不符合 3评审和修订 □符合 □部分符合 □不符合 测试类别等级测评（二级） 测试对象安全管理 测 试 类安全管理制度 测 试 项管理制度 测试要求： 1.应制定信息安全工作的总体方针和政策性文件，说明 机构安全工作的总体目标、范围、 方针、原则、责任等； 2.应对安全管理活动中重要的管理内容建立安全管理制度，以规范安全管理活动，约束人 员的行为方式； 3.应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以规范操作行为， 防止操作失误； 测试记录： 1.访谈安全主管，询问是否制定信息安全工作的总体方针、政策性文件和安全策略等： 否 □ 是 □ 是否对重要管理内容建立安全管理制度： 否 □ 是 □ 是否对重要管理操作制定操作规程： 否 □ 是 □ 2.检查信息安全工作的总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工 作的总体目标、范围、方针、原则、责任等： 否 □ 是 □ 3.检查安全管理制度清单，查看是否覆盖物理、网络、主机系统、数据、应用和管理等层面： 否 □ 是 □ 4.检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等： 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-4项全部符合即视为符合 测试类别等级测评（二级） 测试对象安全管理 测 试 类安全管理制度 测 试 项制定和发布 测试要求： 1.应在信息安全职能部门的总体负责下，组织相关人员制定； 2.应保证安全管理制度具有统一的格式风格，并进行版本控制； 第 2 页 共 4 页等级保护现场检测表 3.应组织相关人员对制定的安全管理进行论证和审定； 4.安全管理制度应经过管理层签发后按照一定的程序以文件形式发布 测试记录： 1.询问安全管理制度是否在信息安全职能部门的总体负责下统一制定？ 否 □ 是 □ 〇参与制定人员有哪些？ 2.安全管理制度的制定程序： 是否对制定的安全管理制度进行论证和审定？ 否 □ 是 □ 〇论证和评审方式如何（如召开评审会、函审、内部审核等）？ 〇是否按照统一的格式标准或要求制定？ 否 □ 是 □ 3.制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版 本编号等相关内容？ 否 □ 是 □ 4.管理制度评审记录是否有相关人员的评审意见？ 否 □ 是 □ 5.安全管理制度文档： 〇是否有版本标识？ 否 □ 是 □ 〇是否有管理层的签字或盖章？ 否 □ 是 □ 〇各项制度文档格式是否统一？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-5项全部符合即视为符合 测试类别等级测评（二级） 测试对象安全管理 测 试 类安全管理制度 测 试 项评审和修订 测试要求： 1.应定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修 订； 测试记录： 1.访谈安全主管，询问是否定期对安全管理制度进行评审： 否 □ 是 □ 〇 发现存在不足或需要改进的是否进行修订： 否 □ 是 □ 〇评审周期多长？ 第 3 页 共 4 页等级保护现场检测表 2.是否具有需要定期修订的安全管理制度列表？ 否 □ 是 □ 3.检查安全管理制度评审记录，查看记录日期与评审周期是否一致： 否 □ 是 □ 如果对制度做过修订，检查是否有修订版本的安全管理制度： 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-3项符合即视为符合 第 4 页 共 4 页