SGISLOPSA系统建设管理等级保护测评作业指导说明书.doc

《SGISLOPSA系统建设管理等级保护测评作业指导说明书.doc》由会员分享，可在线阅读，更多相关《SGISLOPSA系统建设管理等级保护测评作业指导说明书.doc（38页珍藏版）》请在咨信网上搜索。

1、控制编号：SGISL/OP-SA92-10信息安全等级保护测评作业指导书系统建设管理（三级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：01月06日中国电力科学研究院信息安全试验室修改页修订号控制编号版号/章节号修改人修订原因同意人同意日期备注1SGISL/OP-SA92-10李焕按公安部要求修订詹雄.3.8一、系统定级1信息系统边界和安全保护等级测评项编号ADT-JSGL-01-A对应要求应明确信息系统边界和安全保护等级测评项名称信息系统边界和安全保护等级测评分项1：检验系统边界和安全保护等级。操作步骤访谈管理员，问询是否明确了信息系统边界范围，是否明确系统安全保护等级。适用

2、版本任何版本实施风险无符合性判定假如信息系统边界范围明确，确定了系统安全保护等级，判定结果为符合；假如信息系统边界范围不明确，或未确定系统安全保护等级，判定结果为不符合。备注2信息系统定级方法和理由测评项编号ADT-JSGL-01-B对应要求应以书面形式说明确定信息系统为某个安全保护等级方法和理由测评项名称信息系统定级方法和理由测评分项1：检验系统定级情况。操作步骤访谈管理员，问询系统定级是否参考定级指南指导，是否对其进行明确描述，说明确定系统为某个安全保护等级方法和理由，是否有书面说明。适用版本任何版本实施风险无符合性判定假如系统定级参考定级指南指导，有书面相关说明，说明确定系统为某个安全保

3、护等级方法和理由，判定结果为符合；假如系统定级未参考定级指南指导，或无书面相关说明，未能说明确定系统为某个安全保护等级方法和理由，判定结果为不符合。备注3定级结果论证和审定 测评项编号ADT-JSGL-01-C对应要求应组织相关部门和相关安全技术教授对信息系统定级结果合理性和正确性进行论证和审定测评项名称定级结果论证和审定测评分项1：检验系统定级审定情况。操作步骤访谈管理员，问询系统定级是否组织相关部门和相关安全技术教授对定级结果进行论证和审定，检验论证和审定统计。适用版本任何版本实施风险无符合性判定假如组织相关部门和相关安全技术教授对定级结果进行论证和审定，相关论证和审定统计，判定结果为符合

4、；假如未组织相关部门和相关安全技术教授对定级结果进行论证和审定，相关论证和审定统计，判定结果为不符合。备注4定级结果经过相关部门同意测评项编号ADT-JSGL-01-D对应要求应确保信息系统定级结果经过相关部门同意测评项名称定级结果经过相关部门同意测评分项1：检验系统定级审定情况。操作步骤访谈管理员，问询系统定级统计是否经过相关部门（如上级主管部门）同意。查看相关文件。适用版本任何版本实施风险无符合性判定假如系统定级结果经过相关部门同意盖章，判定结果为符合；假如系统定级结果未经过相关部门同意盖章，判定结果为不符合。备注二、安全方案设计1选择基础安全方法及补充调整测评项编号ADT-JSGL-02

5、-A对应要求应依据系统安全保护等级选择基础安全方法，依据风险分析结果补充和调整安全方法测评项名称选择基础安全方法及补充调整测评分项1：检验安全方案设计。操作步骤访谈管理员，问询是否依据系统安全保护等级选择基础安全方法，是否依据风险分析结果来补充和调整安全方法。适用版本任何版本实施风险无符合性判定假如依据系统安全保护等级选择基础安全方法，依据风险分析结果补充和调整安全方法，判定结果为符合；假如未依据系统安全保护等级选择基础安全方法，或未依据风险分析结果补充和调整安全方法，判定结果为不符合。备注2安全建设总体计划测评项编号ADT-JSGL-02-B对应要求应指定和授权专门部门对信息系统安全建设进行

6、总体计划，制订近期和远期安全建设工作计划测评项名称安全建设总体计划测评分项1：检验安全方案设计。操作步骤访谈管理员，问询是否指定和授权专门部门对信息系统安全建设进行总体计划，制订近期和远期安全建设工作计划，查看工作计划。适用版本任何版本实施风险无符合性判定假如有专门部门对信息系统安全建设进行总体计划，有安全建设工作计划，判定结果为符合；假如无专门部门对信息系统安全建设进行总体计划，无安全建设工作计划，判定结果为不符合。备注3细化系统安全方案测评项编号ADT-JSGL-02-C对应要求应依据信息系统等级划分情况，统一考虑安全保障体系总体安全策略、安全技术框架、安全管理策略、总体建设计划和具体设计

7、方案，并形成配套文件测评项名称细化系统安全方案测评分项1：检验安全方案设计。操作步骤访谈管理员，问询是否依据信息系统等级划分情况，统一考虑安全保障体系总体安全策略、安全技术框架、安全管理策略、总体建设计划和具体设计方案，并形成配套文件，查看相关具体设计方案。适用版本任何版本实施风险无符合性判定假如有总体建设计划和具体设计方案，判定结果为符合；假如无总体建设计划和具体设计方案，判定结果为不符合。备注4安全技术教授论证和审定 测评项编号ADT-JSGL-02-D对应要求应组织相关部门和相关安全技术教授对总体安全策略、安全技术框架、安全管理策略、总体建设计划、具体设计方案等相关配套文件合理性和正确性

8、进行论证和审定，而且经过同意后，才能正式实施测评项名称安全技术教授论证和审定测评分项1：检验安全方案设计。操作步骤访谈管理员，问询安全建设方案是否经过教授具体周全论证和讨论，同意后才开始实施。适用版本任何版本实施风险无符合性判定假如安全建设方案经过教授具体周全论证和讨论，判定结果为符合；假如安全建设方案未经过教授具体周全论证和讨论，判定结果为不符合。备注5安全方案调整和修订测评项编号ADT-JSGL-02-E对应要求应依据等级测评、安全评定结果定时调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设计划、具体设计方案等相关配套文件测评项名称安全方案调整和修订测评分项1：检验安全方案调整

9、和修订。操作步骤访谈管理员，问询是否依据等级测评、安全评定结果定时调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设计划、具体设计方案等相关配套文件；问询调整和修订周期，检验对应调整和修订统计。适用版本任何版本实施风险无符合性判定假如定时依据等级测评、安全评定结果调整安全方案，判定结果为符合；假如未定时依据等级测评、安全评定结果调整安全方案，判定结果为不符合。备注三、产品采购和使用1安全产品采购和使用符合国家相关要求 测评项编号ADT-JSGL-03-A对应要求应确保安全产品采购和使用符合国家相关要求测评项名称安全产品采购和使用符合国家相关要求测评分项1：检验安全产品采购和使用是否符

10、合国家相关安全产品要求。操作步骤访谈管理员，问询系统采购和使用安全产品是否符合国家相关要求，得到国家相关部门认证。适用版本任何版本实施风险无符合性判定假如系统采购和使用安全产品符合国家相关要求，得到国家相关部门认证，判定结果为符合；假如系统采购和使用安全产品不符合国家相关要求，或未得到国家相关部门认证，判定结果为不符合。备注2保密码产品采购和使用符合国家密码主管部门要求测评项编号ADT-JSGL-03-B对应要求应确保密码产品采购和使用符合国家密码主管部门要求测评项名称保密码产品采购和使用符合国家密码主管部门要求测评分项1：检验密码产品采购和使用是否符合国家密码主管部门要求。操作步骤访谈管理员

11、，问询系统采购和使用密码产品是否符合国家密码主管部门要求，得到国家相关部门认证。适用版本任何版本实施风险无符合性判定假如系统采购和使用密码产品符合国家相关要求，得到国家相关部门认证，判定结果为符合；假如系统采购和使用密码产品不符合国家相关要求，或未得到国家相关部门认证，判定结果为不符合。备注3专门部门负责产品采购测评项编号ADT-JSGL-03-C对应要求应指定或授权专门部门负责产品采购测评项名称专门部门负责产品采购测评分项1：检验产品采购。操作步骤访谈管理员，问询是否有专门部门负责产品采购。适用版本任何版本实施风险无符合性判定假如有专门部门负责产品采购，判定结果为符合；假如无专门部门负责产品

12、采购，判定结果为不符合。备注4预先产品选型测试测评项编号ADT-JSGL-03-D对应要求应预先对产品进行选型测试，确定产品候选范围，并定时审定和更新候选产品名单测评项名称预先产品选型测试测评分项1：检验采购产品选型。操作步骤访谈管理员，问询制订采购过程控制策略，采购前对产品做选型测试，对关键部位产品是否委托专业测评单位进行专题测试，确定产品候选范围，经过招投标方法确定采购产品，是否定时审定和更新候选产品名单。适用版本任何版本实施风险无符合性判定假如有采购控制策略，采购前对产品做选型测试，确定产品候选范围，经过招投标方法确定要采购产品，定时审定和更新候选产品名单，判定结果为符合；假如无采购控制

13、策略，采购前未对产品做选型测试，确定产品候选范围，或未经过招投标方法确定要采购产品，定时审定和更新候选产品名单，判定结果为不符合。备注四、自行软件开发1开发环境和实际运行环境物理分开，测试数据和测试结果受到控制 测评项编号ADT-JSGL-04-A对应要求应确保开发环境和实际运行环境物理分开，测试数据和测试结果受到控制测评项名称开发环境和实际运行环境物理分开，测试数据和测试结果受到控制测评分项1：检验开发环境。操作步骤需访谈管理员是否自主开发软件，查看开发环境，开发环境和实际运行环境物理上是否分开；查看软件开发是否有控制方法，对测试数据和测试结果进行管理。适用版本任何版本实施风险无符合性判定假

14、如开发环境和实际运行环境物理上分开，制订软件开发控制方法，能对测试数据和测试结果进行有效控制，判定结果为符合；假如开发环境和实际运行环境物理上未分开，未制订软件开发控制方法，对测试数据和测试结果进行有效控制，判定结果为不符合。备注2软件开发管理制度测评项编号ADT-JSGL-04-B对应要求应制订软件开发管理制度，明确说明开发过程控制方法和人员行为准则测评项名称软件开发管理制度测评分项1：检验软件开发管理制度。操作步骤访谈管理员，检验软件开发管理制度，查看文件是否明确软件设计、开发、测试、验收过程控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批，是否明确软件开发相关文档管理等。适用

15、版本任何版本实施风险无符合性判定假如有软件开发管理制度，对软件开发过程和人员进行管理，判定结果为符合；假如无软件开发管理制度，对软件开发过程和人员进行管理，判定结果为不符合。备注3代码编写安全规范测评项编号ADT-JSGL-04-C对应要求应制订代码编写安全规范，要求开发人员参考规范编写代码测评项名称代码编写安全规范测评分项1：检验代码编写规范。操作步骤访谈管理员，检验是否有代码编写安全规范，开发人员参考规范编写代码。适用版本任何版本实施风险无符合性判定假如有代码编写安全规范，开发软件参考规范编写，判定结果为符合；假如无代码编写安全规范，开发软件未参考规范编写，判定结果为不符合。备注4软件设计

16、相关文档和使用指南测评项编号ADT-JSGL-04-D对应要求应确保提供软件设计相关文档和使用指南，并由专员负责保管测评项名称软件设计相关文档和使用指南测评分项1：检验软件设计相关文档保管。操作步骤访谈管理员，问询软件设计相关文档是否有专员负责保管。适用版本任何版本实施风险无符合性判定假如有专员负责保管软件设计相关文档，判定结果为符合；假如无专员负责保管软件设计相关文档，判定结果为不符合。备注5程序资源库修改、更新、公布进行授权和同意测评项编号ADT-JSGL-04-E对应要求应确保对程序资源库修改、更新、公布进行授权和同意测评项名称程序资源库修改、更新、公布进行授权和同意测评分项1：检验程序

17、资源库修改、更新、公布进行授权和同意。操作步骤访谈管理员，查看是否制订软件开发管理制度，对程序资源库修改、更新、公布进行授权和同意等方面进行要求。适用版本任何版本实施风险无符合性判定假如有软件开发管理制度，对程序资源库修改、更新、公布进行授权和同意等方面进行要求，判定结果为符合；假如无软件开发管理制度，对程序资源库修改、更新、公布进行授权和同意等方面进行要求，判定结果为不符合。备注五、外包软件开发1软件质量测试测评项编号ADT-JSGL-05-A对应要求应依据开发要求测试软件质量测评项名称软件质量测试测评分项1：检验测试软件质量要求。操作步骤访谈管理员，问询是否依据要求测试软件质量。适用版本任

18、何版本实施风险无符合性判定假如软件交付使用前，依据相关要求测试软件质量，判定结果为符合；假如软件交付使用前，未依据相关要求测试软件质量，判定结果为不符合。备注2检测软件包恶意代码 测评项编号ADT-JSGL-05-B对应要求应在软件安装之前检测软件包中可能存在恶意代码测评项名称检测软件包恶意代码测评分项1：恶意代码检验。操作步骤访谈管理员，在软件安装使用前是否有恶意代码检测要求，是否进行了恶意代码测试。适用版本任何版本实施风险无符合性判定假如在软件安装使用前有进行恶意代码检测要求，并进行了恶意代码测试，判定结果为符合；假如在软件安装使用前无进行恶意代码检测要求，未进行了恶意代码测试，判定结果为

19、不符合。备注3软件设计相关文档和使用指南测评项编号ADT-JSGL-05-C对应要求应要求开发单位提供软件设计相关文档和使用指南测评项名称软件设计相关文档和使用指南测评分项1：检验设计文档使用指南操作步骤访谈管理员，是否要求开发单位提供软件设计相关文档、使用指南，检验这些文档。适用版本任何版本实施风险无符合性判定假如有软件设计相关文档和使用指南，判定结果为符合；假如无软件设计相关文档和使用指南，判定结果为不符合。备注4软件源代码检验测评项编号ADT-JSGL-05-D对应要求应要求开发单位提供软件源代码，并审查软件中可能存在后门测评项名称软件源代码检验测评分项1：软件源代码检验。操作步骤访谈管

20、理员，是否要求开发单位提供软件源代码，是否审查软件中可能存在后门。适用版本任何版本实施风险无符合性判定假如有开发单位提供软件源代码，在软件安装前对软件中可能存在后门进行审查，判定结果为符合；假如无开发单位提供软件源代码，在软件安装前对软件中可能存在后门未进行审查，判定结果为不符合。备注六、工程实施1工程实施管理测评项编号ADT-JSGL-06-A对应要求应指定或授权专门部门或人员负责工程实施过程管理测评项名称工程实施管理测评分项1：检验工程实施管理。操作步骤访谈管理员，问询是否指定或授权专门部门或人员负责工程实施过程管理。适用版本任何版本实施风险无符合性判定假如应用专门部门或人员负责工程实施和

21、管理，判定结果为符合；假如未应用专门部门或人员负责工程实施和管理，判定结果为不符合。备注2工程实施方案测评项编号ADT-JSGL-06-B对应要求应制订具体工程实施方案控制实施过程，并要求工程实施单位能正式地实施安全工程过程测评项名称工程实施方案测评分项1：检验工程实施方案。操作步骤访谈管理员，问询是否制订具体工程实施方案，控制工程实施过程，是否要求工程实施单位能正式地实施安全工程过程，查看工程实施方案。适用版本任何版本实施风险无符合性判定假如有工程实施方案，工程实施单位正式地实施安全工程过程，判定结果为符合；假如无工程实施方案，工程实施单位未正式地实施安全工程过程，判定结果为不符合。备注3工

22、程实施管理制度测评项编号ADT-JSGL-06-C对应要求应制订工程实施方面管理制度明确说明实施过程控制方法和人员行为准则测评项名称工程实施管理制度测评分项1：检验工程实施管理制度。操作步骤访谈管理员，问询是否制订了工程实施方面管理制度，对工程实施进度、质量、过程等方面进行规范，是否将控制方法和工程人员行为规范制度化，否以书面形式（如工程安全建设协议）约束工程实施方工程实施行为。适用版本任何版本实施风险无符合性判定假如有工程实施方面管理制度，工程实施过程、控制方法、人员行为进行规范，判定结果为符合；假如无工程实施方面管理制度，工程实施过程、控制方法、人员行为进行规范，判定结果为不符合。备注七、

23、测试验收1第三方安全性测试测评项编号ADT-JSGL-07-A对应要求应委托工程第三方测试单位对系统进行安全性测试，并出具安全性测试汇报测评项名称第三方安全性测试测评分项1：检验系统安全性测试验收。操作步骤访谈管理员，问询在信息系统正式运行前，是否委托第三方测试机构依据设计方案或协议要求对信息系统进行独立安全性测试，并出具安全性测试汇报。适用版本任何版本实施风险无符合性判定假如在信息系统正式运行前，委托第三方测试机构依据设计方案或协议要求对信息系统进行独立安全性测试，有安全性测试汇报，判定结果为符合；假如在信息系统正式运行前，未委托第三方测试机构依据设计方案或协议要求对信息系统进行独立安全性测

24、试，无安全性测试汇报，判定结果为不符合。备注2安全性测试验收汇报 测评项编号ADT-JSGL-07-B对应要求在测试验收前应依据设计方案或协议要求等制订测试验收方案，在测试验收过程中应具体统计测试验收结果，并形成测试验收汇报测评项名称安全性测试验收汇报测评分项1：检验系统安全性测试验收。操作步骤访谈管理员，问询在信息系统正式运行前，是否依据设计方案或协议要求制订测试验收方案，对信息系统进行测试，并具体统计测试结构，查看形成测试验收汇报。适用版本任何版本实施风险无符合性判定假如在信息系统正式运行前，制订测试验收方案，对信息系统进行测试，有测试验收汇报，判定结果为符合；假如在信息系统正式运行前，未

25、制订测试验收方案，对信息系统进行测试，或无测试验收汇报，判定结果为不符合。备注3书面要求测试验收控制方法和人员行为准则测评项编号ADT-JSGL-07-C对应要求应对系统测试验收控制方法和人员行为准则进行书面要求测评项名称书面要求测试验收控制方法和人员行为准则测评分项1：检验测试验收控制方法和人员控制。操作步骤访谈管理员，问询是否有测试管理制度，对系统测试验收控制方法和人员行为准则进行书面要求。适用版本任何版本实施风险无符合性判定假如有测试管理制度，对系统测试验收控制方法和人员行为准则进行书面要求，判定结果为符合；假如无测试管理制度，未对系统测试验收控制方法和人员行为准则进行书面要求，判定结果

26、为不符合。备注 4系统测试验收授权及完成测评项编号ADT-JSGL-07-D对应要求应指定或授权专门部门负责系统测试验收管理，并根据管理要求要求完成系统测试验收工作测评项名称系统测试验收授权及完成测评分项1：检验测试验收管理。操作步骤访谈管理员，问询是否指定或授权专门部门负责系统测试验收管理，并根据管理要求要求完成系统测试验收工作。适用版本任何版本实施风险无符合性判定假如有专门部门负责系统测试验收工作，判定结果为符合；假如无专门部门负责系统测试验收工作，判定结果为不符合。备注5测试验收汇报审定测评项编号ADT-JSGL-07-E对应要求应组织相关部门和相关人员对系统测试验收汇报进行审定，并签字

27、确定测评项名称测试验收汇报审定测评分项1：检验测试验收汇报审定。操作步骤访谈管理员，问询是否组织相关部门和相关人员对系统测试验收汇报进行审定，查看测试汇报是否提出存在问题及改善意见等。适用版本任何版本实施风险无符合性判定假如组织了相关部门和相关人员对系统测试验收汇报进行审定，判定结果为符合；假如未组织相关部门和相关人员对系统测试验收汇报进行审定，判定结果为不符合。备注八、系统交付1系统交付清单测评项编号ADT-JSGL-08-A对应要求应制订具体系统缴费清单，并依据交付清单对所交接设备、软件和文档等进行清点测评项名称系统交付清单测评分项1：检验交付清单。操作步骤访谈管理员，问询是否有交接手续，

28、是否制订系统交付清单，交付清单是否满足协议相关要求，是否依据交付清单对所交接设备、软件和文档等进行清点。适用版本任何版本实施风险无符合性判定假如有交接手续，有系统交付清单，交付清单满足协议相关要求，判定结果为符合；假如无交接手续，有系统交付清单，交付清单不满足协议相关要求，判定结果为不符合。备注2运行维护技术人员技能培训 测评项编号ADT-JSGL-08-B对应要求应对负责系统运行维护技术人员进行对应技能培训测评项名称运行维护技术人员技能培训测评分项1：检验培训工作。操作步骤访谈管理员，问询现在信息系统是否由内部人员独立运行维护，假如是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面

29、进行过培训，是否以书面形式承诺对系统运行维护提供一定技术支持服务，是否根据服务承诺书要求进行过技术支持，以何形式进行。适用版本任何版本实施风险无符合性判定假如系统由内部人员独立运行维护，系统建设实施方应对运维技术人员进行过培训，提供系统运维技术支持，判定结果为符合；假如系统由内部人员独立运行维护，系统建设实施方应对运维技术人员未进行过培训，未提供系统运维技术支持，判定结果为不符合。备注3系统运行维护文档测评项编号ADT-JSGL-08-C对应要求应确保提供系统建设过程中文档和指导用户进行系统运行维护文档测评项名称系统运行维护文档测评分项1：检验提交系统运行维护文档。操作步骤访谈管理员，问询系统

30、建设实施方是否提供了建设过程中使用文档和指导用户进行系统运行维护文档。适用版本任何版本实施风险无符合性判定假如有系统建设实施方是否提供建设过程中使用文档和指导用户进行系统运行维护文档，判定结果为符合；假如无系统建设实施方是否提供建设过程中使用文档和指导用户进行系统运行维护文档，判定结果为不符合。备注4书面要求系统交付控制方法和人员行为准则 测评项编号ADT-JSGL-08-D对应要求应对系统交付控制方法和人员行为准则进行书面要求测评项名称书面要求系统交付控制方法和人员行为准则测评分项1：检验系统交付控制方法和人员控制。操作步骤访谈管理员，问询是否有交付管理制度，对系统交付控制方法和人员行为准则

31、进行书面要求。适用版本任何版本实施风险无符合性判定假如有系统交付管理制度，对系统交付控制方法和人员行为准则进行书面要求，判定结果为符合；假如无系统交付管理制度，对系统交付控制方法和人员行为准则进行书面要求，判定结果为不符合。备注5系统交付管理工作授权及完成测评项编号ADT-JSGL-08-E对应要求应指定或授权专门部门负责系统交付管理工作，并根据管理要求要求完成系统交付工作测评项名称系统交付管理工作授权及完成测评分项1：检验系统交付管理。操作步骤访谈管理员，问询是否指定或授权专门部门负责系统交付管理，并根据系统交付要求要求完成系统交付收工作。适用版本任何版本实施风险无符合性判定假如有专门部门负

32、责系统交付工作，判定结果为符合；假如无专门部门负责系统交付工作，判定结果为不符合。备注九、系统立案1系统定级材料管理 测评项编号ADT-JSGL-09-A对应要求应指定专门部门或人员负责管理系统定级相关材料，并控制这些材料使用测评项名称系统定级材料管理测评分项1：检验系统立案管理。操作步骤访谈管理员，问询是否有专门人员或部门负责管理系统定级、系统属性等文档管理，对这些文档使用是否有控制方法。适用版本任何版本实施风险无符合性判定假如有专门人员或部门负责管理系统定级、系统属性等文档管理，对这些文档使用有控制方法，如限制使用范围、使用登记统计等，判定结果为符合；假如无专门人员或部门负责管理系统定级、

33、系统属性等文档管理，对这些文档使用有控制方法，如限制使用范围、使用登记统计等，判定结果为不符合。备注2系统主管部门立案 测评项编号ADT-JSGL-09-B对应要求应将系统等级相关材料报系统主管部门立案测评项名称系统主管部门立案测评分项1：检验系统立案管理。操作步骤访谈管理员，问询是否将系统定级文档和系统属性说明文件等材料报主管部门立案，查看立案纪录。适用版本任何版本实施风险无符合性判定假如将系统定级文档和系统属性说明文件等材料报主管部门立案，有立案统计，判定结果为符合；假如未将系统定级文档和系统属性说明文件等材料报主管部门立案，或无立案统计，判定结果为不符合。备注3立案材料报送对应公安机关立

34、案测评项编号ADT-JSGL-09-C对应要求应将系统等级及其它要求立案材料报送对应公安机关立案测评项名称立案材料报送对应公安机关立案测评分项1：检验系统立案管理。操作步骤访谈管理员，问询是否将系统定级文档和系统属性说明文件等材料报公安机关立案，查看立案统计。适用版本任何版本实施风险无符合性判定假如将系统定级文档和系统属性说明文件等材料报公安机关立案，有立案统计，判定结果为符合；假如未将系统定级文档和系统属性说明文件等材料报公安机关立案，无立案统计，判定结果为不符合。备注十、等级测评1每十二个月一次等级测评及整改 测评项编号ADT-JSGL-10-A对应要求在系统运行过程中，应最少每十二个月对

35、系统进行一次等级测评，发觉不符合对应等级保护标准要求立即整改测评项名称每十二个月一次等级测评及整改测评分项1：检验等级测评管理。操作步骤访谈管理员，问询在系统运行过程中，多长时间对系统进行一次等级测评，对于发觉不符合对应等级保护标准要求是否能立即整改。适用版本任何版本实施风险无符合性判定假如最少每十二个月对系统进行一次等级测评，对于发觉不符合对应等级保护标准要求能够立即整改，有整改统计，判定结果为符合；假如未达成最少每十二个月对系统进行一次等级测评，对于发觉不符合对应等级保护标准要求能够立即整改，或无整改统计，判定结果为不符合。备注2系统变更进行等级测评 测评项编号ADT-JSGL-10-B对

36、应要求应在系统发生变更时立即对系统进行等级测评，发觉等级发生改变立即调整等级并进行安全改造；发觉不符合对应等级保护标准要求立即整改测评项名称系统变更进行等级测评测评分项1：检验等级测评管理。操作步骤访谈管理员，问询在系统发生变更时是否能立即对系统进行等级测评，发觉等级发生改变能否立即调整等级并进行安全改造；发觉不符合对应等级保护标准要求能否立即整改，查看调整统计。适用版本任何版本实施风险无符合性判定假如在系统发生变更时能立即对系统进行等级测评，发觉等级发生改变能立即调整等级并进行安全改造；发觉不符合对应等级保护标准要求能立即整改，有对应调整统计，判定结果为符合；假如不符合上述描述，判定结果为不

37、符合。备注3测评单位技术资质和安全资质 测评项编号ADT-JSGL-10-C对应要求应选择含有国家相关技术资质和安全资质测评单位进行等级测评测评项名称测评单位技术资质和安全资质测评分项1：检验等级测评管理。操作步骤访谈管理员，问询选择进行等级测评测评单位是否含有国家相关技术资质和安全资质。适用版本任何版本实施风险无符合性判定假如选择进行等级测评测评单位含有国家相关技术资质和安全资质，有资质证实，判定结果为符合；假如未选择进行等级测评测评单位含有国家相关技术资质和安全资质，判定结果为不符合。备注4授权专门部门或人员负责等级测评管理测评项编号ADT-JSGL-10-D对应要求应指定或授权专门部门或

38、人员负责等级测评管理测评项名称授权专门部门或人员负责等级测评管理测评分项1：检验等级测评管理。操作步骤访谈管理员，问询是否指定或授权专门部门负责等级测评管理，并根据等级测评要求要求完成等级测评工作。适用版本任何版本实施风险无符合性判定假如有专门部门负责等级测评工作，判定结果为符合；假如无专门部门负责等级测评工作，判定结果为不符合。备注十一、安全服务商选择1安全服务商选择合规测评项编号ADT-JSGL-11-A对应要求应确保安全服务商选择符合国家相关要求测评项名称安全服务商选择合规测评分项1：检验安全服务商选择。操作步骤访谈管理员，问询对信息系统进行安全计划、设计、实施、维护、测评等服务安全服务

39、单位是否符合国家相关要求。适用版本任何版本实施风险无符合性判定假如选择安全服务商符合国家相关要求，判定结果为符合；假如选择安全服务商不符合国家相关要求，判定结果为不符合。备注2安全服务商协议测评项编号ADT-JSGL-11-B对应要求应和选定安全服务商签署和安全相关协议，明确约定相关责任测评项名称安全服务商协议测评分项1：检验安全服务商选择。操作步骤访谈管理员，问询是否同安全服务商签署相关安全协议，明确约定相关责任；查看签署协议。适用版本任何版本实施风险无符合性判定假如同安全服务商签署相关安全协议，明确约定相关责任，判定结果为符合；假如未同安全服务商签署相关安全协议，或未明确约定相关责任，判定结果为不符合。备注3安全服务商服务协议测评项编号ADT-JSGL-11-C对应要求应确保选定安全服务商提供技术培训和服务承诺，必需和其签署服务协议测评项名称安全服务商服务协议测评分项1：检验安全服务商选择。操作步骤访谈管理员，问询是否和安全服务商签署协议，要求所提供技术培训和服务。适用版本任何版本实施风险无符合性判定假如和安全服务商签署协议，要求所提供技术培训和服务，有签署协议，判定结果为符合；假如和安全服务商未签署协议，要求所提供技术培训和服务，无签署协议，判定结果为不符合。备注