( 单位) 系统 等级保护三级测评 现场检测表 测试对象范围：安全管理 测试对象名称：人员管理安全 配合人员签字： 测试人员签字： 核实人员签字： 测试日期： 结果统计: 测评项 测评结果 1人员录用 □符合 □部分符合 □不符合 2人员离岗 □符合 □部分符合 □不符合 3人员考核 □符合 □部分符合 □不符合 4安全意识教育与培训 □符合 □部分符合 □不符合 5第三方人员访问管理 □符合 □部分符合 □不符合等级保护现场检测表 测试类别等级测评（三级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员录用 测试要求： 1.应保证被录用人具备基本的专业技术水平和安全管理知识； 2.应对被录用人的身份、背景、专业资格和资质进行审查； 3.应对被录用人所具备的技术技能进行考核； 4.应对被录用人说明其角色和职责； 5.应签署保密协议； 6.对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查； 7.对从事关键岗位的人员应签署岗位安全协议。 测试记录： 1.在人员录用时对人员条件有哪些要求？ 目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作？ 否 □ 是 □ 2.在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查？ 否 □ 是 □ 〇 对技术人员的技术技能进行考核，录用后是否与其签署保密协议？ 否 □ 是 □ 〇是否对其说明工作职责？ 否 □ 是 □ 3.对从事关键岗位的人员是否从内部人员中选拔？ 否 □ 是 □ 是否要求其签署岗位安全安全协议？ 否 □ 是 □ 是否定期对关键岗位人员进行信用审查？ 否 □ 是 □ 〇审查周期多长？ 4.人员录用要求管理文档是否说明录用人员应具备的条件？（如学历、学位要求，技术人 员应具备的专业技术水平，管理人员应具备的安全管理知识等） 否 □ 是 □ 5.是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记 录？ 否 □ 是 □ 〇查看是否记录审查内容和审查结果等？ 否 □ 是 □ 6.技能考核文档或记录是否记录考核内容和考核结果等？ 否 □ 是 □ 7.保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内 容？ 否 □ 是 □ 8.岗位安全协议是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容？ 第 2 页 共 6 页等级保护现场检测表 否 □ 是 □ 9.信用审查记录是否记录了审查内容和审查结果等？ 否 □ 是 □ 查看审查时间与审查周期是否一致？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-9项全部符合即视为符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员离岗 测试要求： 1.应立即终止由于各种原因即将离岗的员工的所有访问权限； 2.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备； 3.应经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开。 测试记录： 1.访谈安全主管，询问 是否及时终止离岗人员的所有访问权限，取回各种身份证件、 钥 匙、徽章等以及机构提供的软硬件设备等？ 否 □ 是 □ 2.访谈人事工作人员，询问调离手续包括哪些？ 〇是否要求调离人员承诺相关保密义务后方可离开？ 否 □ 是 □ 3.检查人员离岗的管理文档，查看是否规定了调离手续和离岗要求等？ 否 □ 是 □ 4.检查是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的登记记录？ 否 □ 是 □ 5.检查保密承诺文档，查看是否有调离人员的签字 ？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-5项全部符合即视为符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员考核 测试要求： 1.应对所有人员进行全面、严格的安全审查； 2.应定期对各个岗位的人员进行安全技能及安全认知的考核； 第 3 页 共 6 页等级保护现场检测表 3.应对考核结果进行记录并保存； 4.应对违背安全策略和规定的人员进行惩戒。 测试记录： 1.是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核？ 否 □ 是 □ 2.对各个岗位人员的考核情况： 〇 考核周期多长？ 〇考核内容有哪些？ 对人员的安全审查情况： 〇审查人员是否包含所有岗位人员？ 否 □ 是 □ 〇审查内容有哪些（如操作行为、社会关系、社交活动等）？ 〇审查内容是否全面？ 否 □ 是 □ 3.对违背安全策略和规定的人员有哪些惩戒措施？ 4.考核记录考核人员是否包括各个岗位的人员？ 否 □ 是 □ 考核内容是否包含安全知识、安全技能等？ 否 □ 是 □ 〇查看记录日期与考核周期是否一致 ？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1、如果测试记录2被访谈人员表述审查内容包含社会关系、 社交活动、 操作行为等各个方面，则 该项为肯定； 2、如果测试记录3被访谈人员表述与文件描述一致，则该项为肯定； 3、测试记录1-4项全部符合即视为符合。 测试类别等级测评（三级） 测试对象安全管理 测 试 类人员安全管理 测 试 项安全意识教育与培训 测试要求： 1.应对各类人员进行安全意识教育； 2.应告知人员相关的安全责任和惩戒措施； 3.应制定安全教育和培训计 划，对信息安全基础知识、岗位操作规 程等进行培训； 4.应针对不同岗位制定不同培训计划； 5.应对安全教育和培训的情况和结果进行记录并 归档保存。 测试记录： 1.是否制定安全教育和培训计 划并按计划对各个岗位人员进行安全教育和培训？ 第 4 页 共 6 页等级保护现场检测表 否 □ 是 □ 〇 以什么形式进行？ 〇 效果如何？ 2.访谈安全员、系统管理员、 网络管理员和 数据库管理员，询问其对工作相关的信 息安全 基础知识、安全责任和惩戒措施等的理 解程度，其表述是否能 够清楚且与文件描述一 致？ 否 □ 是 □ 3.检查安全教育和培训计 划文档，查看是否具有不 同岗位的培训计 划？ 否 □ 是 □ 〇计划是否明确了培训目的、培训方 式、培训对象、培训内容、培训时 间和地点等？ 否 □ 是 □ 〇培训内容是否包含信 息安全基础知识、岗位操作规 程等； 否 □ 是 □ 4.是否具有安全教育和培训记录？ 否 □ 是 □ 〇记录是否有培训人员、培训内容、培训结果等的描述？ 否 □ 是 □ 〇记录与培训计 划是否一致？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1、如果测试记录2中访谈人员能 够表述清楚询问内容， 且安全职责、惩戒措施和岗位操作规 程 表述与文件描述一致，则该项为肯定； 2、测试记录1-3项全部符合即视为符合。 测试类别等级测评（三级） 测试对象安全管理 测 试 类人员安全管理 测 试 项第三方人员访问管理 测试要求： 1.第三方人员应在访问前与机构签署安全责任合 同书或保密协议； 2.对重要区域的访问， 须提出书面申请，批准后由专人全 程陪同或监督，并记录备 案； 3.对第三方人员 允许访问的区域、 系统、 设备、 信 息等内容应进行 书面的规定，并 按照规定 执行。 测试记录： 1.对第三方人员（如 向系统提供 服务的系统软、硬件 维护人员，业务合作 伙伴、评估人员 等）的访问 采取哪些管理措施？ 是否要求第三方人员访问前与机构签署安全责任合 同书或保密协议？ 否 □ 是 □ 2.对第三方人员访问 重要区域（如访问主机 房、重要服务器或设备、保密文档等） 采取哪 第 5