52_SGISLOP_SA92_10系统建设管理等级保护测评作业指导书(四级)

1、范文 .范例 .参考控制编号： SGISL/OP-SA92-10信息安全等级保护测评作业指导书系统建设管理（三级）版号：第 2版修改次数：第 0次生效日期：2010年 01月 06日中国电力科学研究院信息安全实验室WORD 格式整理版范文 .范例 .参考WORD 格式整理版范文 .范例 .参考修改页版号 /修订号控制编号 修改人 修订原因 批准人 批准日期 备注章节号1SGISL/OP-S按公安部要求修订詹雄2010.3.8李焕A92-10WORD 格式整理版范文 .范例 .参考一、系统定级1信息系统边界和安全保护等级测评项编号ADT-JSGL-01对应要求应明确信息系统的边界和安全保护等级-

2、A测评项名称信息系统边界和安全保护等级测评分项 1：检查系统边界和安全保护等级。访谈管理员，询问是否明确了信息系统的边界范围， 是否明确系统安全保护等级。操作步骤适用版本任何版本实施风险无如果信息系统边界范围明确， 确定了系统安全保护等级， 判定结果为符合；符合性判定如果信息系统边界范围不明确， 或未确定系统安全保护等级， 判定结果为不符合。备注2信息系统定级方法和理由测评项编号 ADT-JSGL-01应以书面的形式说明确定信息系统为某对应要求-B个安全保护等级的方法和理由测评项名称信息系统定级方法和理由测评分项 1：检查系统定级情况。操作步骤访谈管理员，询问系统定级是否参照定级指南的指导，是

3、否对其进行明WORD 格式整理版范文 .范例 .参考确描述，说明确定系统为某个安全保护等级的方法和理由， 是否有书面说明。适用版本任何版本实施风险无如果系统定级参照定级指南的指导，有书面相关的说明， 说明确定系统为某个安全保护等级的方法和理由，判定结果为符合；符合性判定如果系统定级未参照定级指南的指导， 或无书面相关的说明， 未能说明确定系统为某个安全保护等级的方法和理由，判定结果为不符合。备注3定级结果论证和审定应组织相关部门和有关安全技术专家对ADT-JSGL-01测评项编号对应要求信息系统定级结果的合理性和正确性进-C行论证和审定测评项名称定级结果论证和审定测评分项 1：检查系统定级的审

4、定情况。访谈管理员，询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，检查论证和审定记录。操作步骤适用版本任何版本实施风险无符合性判定如果组织相关部门和有关安全技术专家对定级结果进行论证和审定，相WORD 格式整理版范文 .范例 .参考关的论证和审定记录，判定结果为符合；如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为不符合。备注4定级结果经过相关部门批准应确保信息系统的定级结果经过相关部测评项编号ADT-JSGL-01对应要求-D门的批准测评项名称定级结果经过相关部门批准测评分项 1：检查系统定级的审定情况。访谈管理员，询问

5、系统定级记录是否经过相关部门（如上级主管部门）的批准。查看相关的文件。操作步骤适用版本任何版本实施风险无如果系统定级结果经过相关部门的批准盖章，判定结果为符合；符合性判定如果系统定级结果未经过相关部门的批准盖章，判定结果为不符合。备注二、安全方案设计1选择基本安全措施及补充调整WORD 格式整理版范文 .范例 .参考应根据系统的安全保护等级选择基本安测评项编号ADT-JSGL-02对应要求全措施，依据风险分析的结果补充和调整-A安全措施测评项名称选择基本安全措施及补充调整测评分项 1：检查安全方案设计。访谈管理员，询问是否根据系统的安全保护等级选择基本安全措施， 是否依据风险分析的结果来补充和

6、调整安全措施。操作步骤适用版本任何版本实施风险无如果根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，判定结果为符合；符合性判定如果未根据系统的安全保护等级选择基本安全措施， 或未依据风险分析的结果补充和调整安全措施，判定结果为不符合。备注2安全建设总体规划应指定和授权专门的部门对信息系统的测评项编号ADT-JSGL-02对应要求安全建设进行总体规划， 制定近期和远期-B的安全建设工作计划测评项名称安全建设总体规划测评分项 1：检查安全方案设计。WORD 格式整理版范文 .范例 .参考访谈管理员，询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期

7、和远期的安全建设工作计划，查看工作计划。操作步骤适用版本任何版本实施风险无如果有专门的部门对信息系统的安全建设进行总体规划，有安全建设工作计划，判定结果为符合；符合性判定如果无专门的部门对信息系统的安全建设进行总体规划， 无安全建设工作计划，判定结果为不符合。备注3细化系统安全方案应根据信息系统的等级划分情况， 统一考测评项编号 ADT-JSGL-02虑安全保障体系的总体安全策略、 安全技对应要求-C术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件测评项名称细化系统安全方案测评分项 1：检查安全方案设计。访谈管理员，询问是否根据信息系统的等级划分情况， 统一考虑安全保障体系的总

8、体安全策略、 安全技术框架、 安全管理策略、 总体建设规划和详细设计方案，并形成配套文件，查看相关的详细设计方案。操作步骤适用版本任何版本实施风险无WORD 格式整理版范文 .范例 .参考如果有总体建设规划和详细设计方案，判定结果为符合；符合性判定如果无总体建设规划和详细设计方案，判定结果为不符合。备注4安全技术专家论证和审定测评项编号ADT-JSGL-02对应要求应组织相关部门和有关安全技术专家对总体安全的策略、 安全技术框架、安全管理策略、总体建设规划、详细设计方案等-D相关配套文件的合理性和正确性进行论证和审定，并且经过批准后， 才能正式实施测评项名称安全技术专家论证和审定测评分项 1：

9、检查安全方案设计。访谈管理员，询问安全建设方案是否经过专家的详细周全的论证和讨论，批准后才开始实施。操作步骤适用版本任何版本实施风险无如果安全建设方案经过专家的详细周全的论证和讨论，判定结果为符合；符合性判定如果安全建设方案未经过专家的详细周全的论证和讨论， 判定结果为不符合。WORD 格式整理版范文 .范例 .参考备注5安全方案调整和修订应根据等级测评、安全评估的结果定期调测评项编号 ADT-JSGL-02整和修订总体安全策略、安全技术框架、对应要求-E安全管理策略、 总体建设规划、详细设计方案等相关配套文件测评项名称安全方案调整和修订测评分项操作步骤1：检查安全方案的调整和修订。访谈管理员

10、，询问是否根据等级测评、 安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、 详细设计方案等相关配套文件； 询问调整和修订的周期， 检查相应的调整和修订记录。适用版本任何版本实施风险无如果定期根据等级测评、 安全评估的结果调整安全方案， 判定结果为符合；符合性判定如果未定期根据等级测评、 安全评估的结果调整安全方案， 判定结果为不符合。备注三、产品采购和使用WORD 格式整理版范文 .范例 .参考1安全产品采购和使用符合国家有关规定ADT-JSGL-03应确保安全产品采购和使用符合国家有测评项编号对应要求-A关规定测评项名称安全产品采购和使用符合国家有关规定测

11、评分项 1：检查安全产品采购和使用是否符合国家有关安全产品的规定。访谈管理员，询问系统采购和使用的安全产品是否符合国家有关规定，得到国家相关部门的认证。操作步骤适用版本任何版本实施风险无符合性判定如果系统采购和使用的安全产品符合国家有关规定， 得到国家相关部门的认证，判定结果为符合；如果系统采购和使用的安全产品不符合国家有关规定， 或未得到国家相关部门的认证，判定结果为不符合。备注2保密码产品采购和使用符合国家密码主管部门要求ADT-JSGL-03应确保密码产品采购和使用符合国家密测评项编号对应要求-B码主管部门的要求测评项名称保密码产品采购和使用符合国家密码主管部门要求测评分项 1：检查密码

12、产品采购和使用是否符合国家密码主管部门的规定。操作步骤访谈管理员，询问系统采购和使用的密码产品是否符合国家密码主管部WORD 格式整理版范文 .范例 .参考门的规定，得到国家相关部门的认证。适用版本任何版本实施风险无如果系统采购和使用的密码产品符合国家有关规定，得到国家相关部门的认证，判定结果为符合；符合性判定如果系统采购和使用的密码产品不符合国家有关规定， 或未得到国家相关部门的认证，判定结果为不符合。备注3专门部门负责产品采购ADT-JSGL-03应指定或授权专门的部门负责产品的采测评项编号对应要求-C购测评项名称专门部门负责产品采购测评分项 1：检查产品的采购。访谈管理员，询问是否有专门

13、的部门负责产品的采购。操作步骤适用版本任何版本实施风险无如果有专门的部门负责产品的采购，判定结果为符合；符合性判定如果无专门的部门负责产品的采购，判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考4预先产品选型测试应预先对产品进行选型测试， 确定产品的测评项编号ADT-JSGL-03对应要求候选范围，并定期审定和更新候选产品名-D单测评项名称预先产品选型测试测评分项操作步骤1：检查采购产品的选型。访谈管理员，询问制定采购过程的控制策略， 采购前对产品做选型测试，对重要部位的产品是否委托专业的测评单位进行专项测试， 确定产品的候选范围，通过招投标方式确定采购产品， 是否定期审定和更新

14、候选产品名单。适用版本任何版本实施风险无如果有采购控制策略，采购前对产品做选型测试， 确定产品的候选范围，通过招投标方式确定要采购的产品， 定期审定和更新候选产品名单， 判定结果为符合；符合性判定如果无采购控制策略， 采购前未对产品做选型测试， 确定产品的候选范围，或未通过招投标方式确定要采购的产品， 定期审定和更新候选产品名单，判定结果为不符合。备注四、自行软件开发1开发环境与实际运行环境物理分开，测试数据和测试结果受到控制WORD 格式整理版范文 .范例 .参考应确保开发环境与实际运行环境物理分测评项编号ADT-JSGL-04对应要求-A开，测试数据和测试结果受到控制测评项名称开发环境与实

15、际运行环境物理分开，测试数据和测试结果受到控制测评分项操作步骤1：检查开发环境。需访谈管理员是否自主开发软件， 查看开发环境，开发环境与实际运行环境物理上是否分开； 查看软件开发是否有控制措施， 对测试数据和测试结果进行管理。适用版本任何版本实施风险无如果开发环境与实际运行环境物理上分开，制定软件开发的控制措施，能对测试数据和测试结果进行有效控制，判定结果为符合；符合性判定如果开发环境与实际运行环境物理上未分开， 未制定软件开发的控制措施，对测试数据和测试结果进行有效控制，判定结果为不符合。备注2软件开发管理制度测评项编号 ADT-JSGL-04应制定软件开发管理制度， 明确说明开发对应要求-

16、B过程的控制方法和人员行为准则测评项名称软件开发管理制度测评分项 1：检查软件开发管理制度。操作步骤访谈管理员，检查软件开发管理制度， 查看文件是否明确软件设计、 开WORD 格式整理版范文 .范例 .参考发、测试、验收过程的控制方法和人员行为准则， 是否明确哪些开发活动应经过授权、审批，是否明确软件开发相关文档的管理等。适用版本任何版本实施风险无如果有软件开发管理制度， 对软件的开发过程和人员进行管理，判定结符合性判定果为符合；如果无软件开发管理制度， 对软件的开发过程和人员进行管理， 判定结果为不符合。备注3代码编写安全规范测评项编号 ADT-JSGL-04应制定代码编写安全规范， 要求开

17、发人员对应要求-C参照规范编写代码测评项名称代码编写安全规范测评分项 1：检查代码编写规范。访谈管理员，检查是否有代码编写安全规范， 开发人员参照规范编写代码。操作步骤适用版本任何版本实施风险无如果有代码编写安全规范，开发软件参照规范编写，判定结果为符合；符合性判定如果无代码编写安全规范， 开发软件未参照规范编写， 判定结果为不符WORD 格式整理版范文 .范例 .参考合。备注4软件设计相关文档和使用指南测评项编号ADT-JSGL-04对应要求应确保提供软件设计的相关文档和使用-D指南，并由专人负责保管测评项名称软件设计相关文档和使用指南测评分项 1：检查软件设计相关文档的保管。访谈管理员，询

18、问软件设计相关文档是否有专人负责保管。操作步骤适用版本任何版本实施风险无如果有专人负责保管软件设计相关文档，判定结果为符合；符合性判定如果无专人负责保管软件设计相关文档，判定结果为不符合。备注5程序资源库修改、更新、发布进行授权和批准测评项编号 ADT-JSGL-04应确保对程序资源库的修改、 更新、发布对应要求-E进行授权和批准测评项名称程序资源库修改、更新、发布进行授权和批准WORD 格式整理版范文 .范例 .参考测评分项 1：检查程序资源库的修改、更新、发布进行授权和批准。访谈管理员，查看是否制定软件开发管理制度，对程序资源库的修改、更新、发布进行授权和批准等方面进行要求。操作步骤适用版

19、本任何版本实施风险无如果有软件开发管理制度， 对程序资源库的修改、 更新、发布进行授权和批准等方面进行要求，判定结果为符合；符合性判定如果无软件开发管理制度， 对程序资源库的修改、 更新、发布进行授权和批准等方面进行要求，判定结果为不符合。备注五、外包软件开发1软件质量测试测评项编号ADT-JSGL-05对应要求应根据开发要求测试软件质量-A测评项名称软件质量测试测评分项 1：检查测试软件质量的要求。访谈管理员，询问是否根据要求测试软件的质量。操作步骤适用版本任何版本实施风险无符合性判定如果软件交付使用前， 根据相关的要求测试软件的质量，判定结果为符WORD 格式整理版范文 .范例 .参考合；

20、如果软件交付使用前， 未根据相关的要求测试软件的质量， 判定结果为不符合。备注2检测软件包恶意代码测评项编号 ADT-JSGL-05应在软件安装之前检测软件包中可能存对应要求-B在的恶意代码测评项名称检测软件包恶意代码测评分项 1：恶意代码检查。访谈管理员，在软件安装使用前是否有恶意代码检测的规定， 是否进行了恶意代码测试。操作步骤适用版本任何版本实施风险无如果在软件安装使用前有进行恶意代码检测的规定，并进行了恶意代码测试，判定结果为符合；符合性判定如果在软件安装使用前无进行恶意代码检测的规定， 未进行了恶意代码测试，判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考3软件设计相关

21、文档和使用指南测评项编号ADT-JSGL-05对应要求应要求开发单位提供软件设计的相关文-C档和使用指南测评项名称软件设计相关文档和使用指南测评分项 1：检查设计文档使用指南访谈管理员，是否要求开发单位提供软件设计的相关文档、使用指南，检查这些文档。操作步骤适用版本任何版本实施风险无如果有软件设计的相关文档和使用指南，判定结果为符合；符合性判定如果无软件设计的相关文档和使用指南，判定结果为不符合。备注4软件源代码检查测评项编号ADT-JSGL-05对应要求应要求开发单位提供软件源代码， 并审查-D软件中可能存在的后门测评项名称软件源代码检查测评分项 1：软件源代码检查。访谈管理员，是否要求开发

22、单位提供软件源代码，是否审查软件中可能操作步骤存在的后门。WORD 格式整理版范文 .范例 .参考适用版本任何版本实施风险无如果有开发单位提供软件源代码， 在软件安装前对软件中可能存在的后门进行审查，判定结果为符合；符合性判定如果无开发单位提供软件源代码， 在软件安装前对软件中可能存在的后门未进行审查，判定结果为不符合。备注六、工程实施1工程实施管理应指定或授权专门的部门或人员负责工测评项编号ADT-JSGL-06对应要求-A程实施过程的管理测评项名称工程实施管理测评分项 1：检查工程实施管理。访谈管理员，询问是否指定或授权专门的部门或人员负责工程实施过程的管理。操作步骤适用版本任何版本实施风

23、险无如果应用专门的部门或人员负责工程实施和管理，判定结果为符合；符合性判定如果未应用专门的部门或人员负责工程实施和管理，判定结果为不符合。WORD 格式整理版范文 .范例 .参考备注2工程实施方案应制定详细的工程实施方案控制实施过测评项编号ADT-JSGL-06对应要求程，并要求工程实施单位能正式地执行安-B全工程过程测评项名称工程实施方案测评分项 1：检查工程实施方案。访谈管理员，询问是否制定详细的工程实施方案，控制工程实施过程，是否要求工程实施单位能正式地执行安全工程过程，查看工程实施方案。操作步骤适用版本任何版本实施风险无如果有工程实施方案， 工程实施单位正式地执行安全工程过程，判定结果

24、为符合；符合性判定如果无工程实施方案， 工程实施单位未正式地执行安全工程过程， 判定结果为不符合。备注3工程实施管理制度测评项编号ADT-JSGL-06对应要求应制定工程实施方面的管理制度明确说-CWORD 格式整理版范文 .范例 .参考明实施过程的控制方法和人员行为准则测评项名称工程实施管理制度测评分项 1：检查工程实施管理制度。访谈管理员，询问是否制定了工程实施方面的管理制度， 对工程实施的进度、质量、过程等方面进行规范， 是否将控制方法和工程人员行为规范制度化，否以书面形式 （如工程安全建设协议） 约束工程实施方的工操作步骤程实施行为。适用版本任何版本实施风险无如果有工程实施方面的管理制

25、度，工程实施过程、 控制方法、人员行为进行规范，判定结果为符合；符合性判定如果无工程实施方面的管理制度， 工程实施过程、 控制方法、人员行为进行规范，判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考七、测试验收1第三方安全性测试测评项编号 ADT-JSGL-07应委托工程的第三方测试单位对系统进对应要求-A行安全性测试，并出具安全性测试报告测评项名称第三方安全性测试测评分项 1：检查系统安全性测试验收。访谈管理员，询问在信息系统正式运行前， 是否委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试， 并出具安全性测试报告。操作步骤适用版本任何版本实施风险无如果在

26、信息系统正式运行前， 委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试， 有安全性测试报告， 判定结果为符合；符合性判定如果在信息系统正式运行前， 未委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试， 无安全性测试报告， 判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考2安全性测试验收报告在测试验收前应根据设计方案或合同要测评项编号 ADT-JSGL-07求等制定测试验收方案， 在测试验收过程对应要求-B中应详细记录测试验收结果， 并形成测试验收报告测评项名称安全性测试验收报告测评分项 1：检查系统安全性测试验收。访谈管理员，询问在信息

27、系统正式运行前， 是否根据设计方案或合同要求制订测试验收方案， 对信息系统进行测试， 并详细记录测试结构， 查看形成测试验收报告。操作步骤适用版本任何版本实施风险无如果在信息系统正式运行前， 制订测试验收方案，对信息系统进行测试，有测试验收报告，判定结果为符合；符合性判定如果在信息系统正式运行前， 未制订测试验收方案， 对信息系统进行测试，或无测试验收报告，判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考3书面规定测试验收的控制方法和人员行为准则测评项编号ADT-JSGL-07对应要求应对系统测试验收的控制方法和人员行-C为准则进行书面规定测评项名称书面规定测试验收的控制方法和人

28、员行为准则测评分项 1：检查测试验收的控制方法和人员控制。访谈管理员，询问是否有测试管理制度， 对系统测试验收的控制方法和人员行为准则进行书面规定。操作步骤适用版本任何版本实施风险无如果有测试管理制度，对系统测试验收的控制方法和人员行为准则进行书面规定，判定结果为符合；符合性判定如果无测试管理制度，未对系统测试验收的控制方法和人员行为准则进行书面规定，判定结果为不符合。备注4系统测试验收授权及完成应指定或授权专门的部门负责系统测试测评项编号ADT-JSGL-07对应要求验收的管理，并按照管理规定的要求完成-D系统测试的验收工作测评项名称系统测试验收授权及完成测评分项 1：检查测试验收管理。WO

29、RD 格式整理版范文 .范例 .参考访谈管理员，询问是否指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试的验收工作。操作步骤适用版本任何版本实施风险无如果有专门的部门负责系统测试验收工作，判定结果为符合；符合性判定如果无专门的部门负责系统测试验收工作，判定结果为不符合。备注5测试验收报告审定应组织相关部门和相关人员对系统测试测评项编号ADT-JSGL-07对应要求-E验收报告进行审定，并签字确认测评项名称测试验收报告审定测评分项 1：检查测试验收报告审定。访谈管理员，询问是否组织相关部门和相关人员对系统测试验收报告进行审定，查看测试报告是否提出存在问题及改进意见等。

30、操作步骤适用版本任何版本实施风险无符合性判定如果组织了相关部门和相关人员对系统测试验收报告进行审定， 判定结果为符合；如果未组织相关部门和相关人员对系统测试验收报告进行审定， 判定结果为不符合。WORD 格式整理版范文 .范例 .参考备注八、系统交付1系统交付清单应制定详细的系统缴费清单， 并根据交付测评项编号ADT-JSGL-08 对应要求 清单对所交接的设备、软件和文档等进行 -A清点测评项名称系统交付清单测评分项 1：检查交付清单。访谈管理员，询问是否有交接手续， 是否制订系统交付清单， 交付清单是否满足合同的有关要求， 是否根据交付清单对所交接的设备、 软件和文档等进行清点。操作步骤适

31、用版本任何版本实施风险无如果有交接手续， 有系统交付清单， 交付清单满足合同的有关要求，判定结果为符合；符合性判定如果无交接手续，有系统交付清单，交付清单不满足合同的有关要求，判定结果为不符合。备注2运行维护技术人员技能培训WORD 格式整理版范文 .范例 .参考ADT-JSGL-08应对负责系统运行维护的技术人员进行测评项编号对应要求-B相应的技能培训测评项名称运行维护技术人员技能培训测评分项操作步骤1：检查培训工作。访谈管理员，询问目前的信息系统是否由内部人员独立运行维护， 如果是，系统建设实施方是否对运维技术人员进行过培训， 针对哪些方面进行过培训，是否以书面形式承诺对系统运行维护提供一

32、定的技术支持服务，是否按照服务承诺书的要求进行过技术支持，以何形式进行。适用版本任何版本实施风险无如果系统由内部人员独立运行维护， 系统建设实施方应对运维技术人员进行过培训，提供系统运维的技术支持，判定结果为符合；符合性判定如果系统由内部人员独立运行维护， 系统建设实施方应对运维技术人员未进行过培训，未提供系统运维的技术支持，判定结果为不符合。备注WORD 格式整理版范文 .范例 .参考3系统运行维护文档ADT-JSGL-08应确保提供系统建设过程中的文档和指测评项编号对应要求-C导用户进行系统运行维护的文档测评项名称系统运行维护文档测评分项 1：检查提交的系统运行维护的文档。访谈管理员，询问

33、系统建设实施方是否提供了建设过程中的使用的文档和指导用户进行系统运行维护的文档。操作步骤适用版本任何版本实施风险无如果有系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档，判定结果为符合；符合性判定如果无系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档，判定结果为不符合。备注4书面规定系统交付的控制方法和人员行为准则测评项编号 ADT-JSGL-08应对系统交付的控制方法和人员行为准对应要求-D则进行书面规定测评项名称书面规定系统交付的控制方法和人员行为准则测评分项 1：检查系统交付的控制方法和人员控制。操作步骤访谈管理员，询问是否有交

34、付管理制度， 对系统交付的控制方法和人员WORD 格式整理版范文 .范例 .参考行为准则进行书面规定。适用版本任何版本实施风险无如果有系统交付管理制度， 对系统交付的控制方法和人员行为准则进行书面规定，判定结果为符合；符合性判定如果无系统交付管理制度， 对系统交付的控制方法和人员行为准则进行书面规定，判定结果为不符合。备注5系统交付管理工作授权及完成应指定或授权专门的部门负责系统交付测评项编号ADT-JSGL-08对应要求的管理工作，并按照管理规定的要求完成-E系统交付工作测评项名称系统交付管理工作授权及完成测评分项 1：检查系统交付管理。访谈管理员，询问是否指定或授权专门的部门负责系统交付的

35、管理， 并按照系统交付规定的要求完成系统交付收工作。操作步骤适用版本任何版本实施风险无如果有专门的部门负责系统交付工作，判定结果为符合；符合性判定如果无专门的部门负责系统交付工作，判定结果为不符合。WORD 格式整理版范文 .范例 .参考备注九、系统备案1系统定级材料管理应指定专门的部门或人员负责管理系统测评项编号ADT-JSGL-09对应要求-A定级的相关材料，并控制这些材料的使用测评项名称系统定级材料管理测评分项 1：检查系统备案管理。访谈管理员，询问是否有专门的人员或部门负责管理系统定级、 系统属性等文档的管理，对这些文档的使用是否有控制措施。操作步骤适用版本任何版本实施风险无如果有专门

36、的人员或部门负责管理系统定级、系统属性等文档的管理，对这些文档的使用有控制措施，如限制使用范围、 使用登记记录等， 判定结果为符合；符合性判定如果无专门的人员或部门负责管理系统定级、系统属性等文档的管理，对这些文档的使用有控制措施， 如限制使用范围、 使用登记记录等， 判定结果为不符合。备注2系统主管部门备案测评项编号ADT-JSGL-09对应要求应将系统等级的相关材料报系统主管部-BWORD 格式整理版范文 .范例 .参考门备案测评项名称系统主管部门备案测评分项 1：检查系统备案管理。访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报主管部门备案，查看备案纪录。操作步骤适用版本任何

37、版本实施风险无如果将系统定级文档和系统属性说明文件等材料报主管部门备案，有备案记录，判定结果为符合；符合性判定如果未将系统定级文档和系统属性说明文件等材料报主管部门备案， 或无备案记录，判定结果为不符合。备注3备案材料报送相应公安机关备案测评项编号ADT-JSGL-09对应要求应将系统等级及其他要求的备案材料报-C送相应公安机关备案测评项名称备案材料报送相应公安机关备案测评分项 1：检查系统备案管理。访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报公操作步骤安机关备案，查看备案记录。适用版本任何版本WORD 格式整理版范文 .范例 .参考实施风险无如果将系统定级文档和系统属性说明文

38、件等材料报公安机关备案，有备案记录，判定结果为符合；符合性判定如果未将系统定级文档和系统属性说明文件等材料报公安机关备案， 无备案记录，判定结果为不符合。备注十、等级测评1每年一次等级测评及整改在系统运行过程中，应至少每年对系统进测评项编号ADT-JSGL-10 对应要求 行一次等级测评，发现不符合相应等级保 -A护标准要求的及时整改测评项名称每年一次等级测评及整改测评分项 1：检查等级测评管理。访谈管理员，询问在系统运行过程中， 多长时间对系统进行一次等级测评，对于发现不符合相应等级保护标准要求是否能及时整改。操作步骤适用版本任何版本实施风险无如果至少每年对系统进行一次等级测评，对于发现不符合相应等级保护标准要求能够及时整改，有整改记录，判定结果为符合；符合性判定如果