( 单位) 系统 等级保护二级测评 现场检测表 测试对象范围：安全管理 测试对象名称：人员管理安全 配合人员签字： 测试人员签字： 核实人员签字： 测试日期： 结果统计: 测评项 测评结果 1人员录用 □符合 □部分符合 □不符合 2人员离岗 □符合 □部分符合 □不符合 3人员考核 □符合 □部分符合 □不符合 4安全意识教育与培训 □符合 □部分符合 □不符合 5第三方人员访问管理 □符合 □部分符合 □不符合等级保护现场检测表 测试类别等级测评（二级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员录用 测试要求： 1.应保证被录用人具备基本的专业技术水平和安全管理知识； 2.应对被录用人的身份、背景、专业资格和资质进行审查； 3.应对被录用人所具备的技术技能进行考核； 4.应对被录用人说明其角色和职责； 5.应签署保密协议。 测试记录： 1.访谈人事负责人，询问在人员录用时对人员条件有哪些要求 : 否 □ 是 □ 目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作 : 否 □ 是 □ 2.访谈人事工作人员，询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行 审查: 否 □ 是 □ 录用后是否与其签署保密协议 : 否 □ 是 □ 是否对其说明工作职责 : 否 □ 是 □ 3.检查人员录用要求管理文档，查看是否说明录用人员应具备的条件，如学历、学位要求，技 术人员应具备的专业技术水平，管理人员应具备的安全管理知识等 : 否 □ 是 □ 4.检查是否具有人员录用时对录用人身份、背景、专业资格或资质等进行审查的相关文档或记 录: 否 □ 是 □ 查看是否记录审查内容和审查结果等 : 否 □ 是 □ 5.检查技能考核文档或记录，查看是否记录考核内容和考核结果等 : 否 □ 是 □ 6.检查保密协议，查看是否有保密范围、 保密责任、 违约责任、 协议的有效期限和责任人签字等 : 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1-6均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员离岗 第 2 页 共 5 页等级保护现场检测表 测试要求： 1.应立即终止由于各种原因即将离岗的员工的所有访问权限； 2.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备； 3.应经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开。 测试记录： 1.访谈安全主管，询问是否及时终止离岗人员所有访问权限，取回各种身份证件、钥匙、徽章 等以及机构提供的软硬件设备等 : 否 □ 是 □ 2.访谈人事工作人员，询问调离手续包括哪些 : 是否要求调离人员承诺相关保密义务后方可离开 : 否 □ 是 □ 3.检查是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的登记记录 : 否 □ 是 □ 4.检查保密承诺文档，查看是否有调离人员的签字 : 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1-4均为肯定，则信息系统符合本单元测评项要求 测试类别等级测评（二级） 测试对象安全管理 测 试 类人员安全管理 测 试 项人员考核 测试要求： 1.应对所有人员进行全面、严格的安全审查； 2.应定期对各个岗位的人员进行安全技能及安全认知的考核； 3.应对违背安全策略和规定的人员进行惩戒。 测试记录： 1.访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核 : 否 □ 是 □ 2.访谈人事工作人员，询问对各个岗位人员的考核情况 (考核周期多长，考核内容有哪些 ): 询问对人员的安全审查情况，审查内容有哪些（如操作行为、社会关系、社交活动等） : 是否全面: 否 □ 是 □ 3.访谈人事工作人员，询问对违背安全策略和规定的人员有哪些惩戒措施 : 测试结果： □符合 □部分符合 □不符合 第 3 页 共 5 页等级保护现场检测表 备注： a)如果2被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面，则该项 为肯定； b)如果3被访谈人员表述与文件描述一致，则该项为肯定； c)1-3均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 测试对象安全管理 测 试 类人员安全管理 测 试 项安全意识教育与培训 测试要求： 1.应对各类人员进行安全意识教育； 2.应告知人员相关的安全责任和惩戒措施； 3.应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训； 4.应对安全教育和培训的情况和结果进行记录并归档保 存。 测试记录： 1.访谈安全主管，询问是否制定安全教育和培训计划并 按计划对各个岗位人员进行安全教育和 培训: 否 □ 是 □ 以什么形式进行: 效果如何: 2.访谈安全员、系统管理员和 网络管理员，考查其对工作相关的信息安全基础知识、安全责任 和惩戒措施等的理 解程度: 3.检查安全教育和培训计划文档，查看计划是否明 确了培训目的、 培训方 式、 培训对象、 培训内 容、培训时 间和地点等: 否 □ 是 □ 培训内容是否包含信息安全基础知识、岗位操作规程等 : 否 □ 是 □ 4.检查是否具有安全教育和培训记录 : 否 □ 是 □ 查看记录是否有培训人员、培训内容、培训结果等的描述 : 否 □ 是 □ 查看记录与培训计划是否一致 : 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： a)如果2访谈人员能 够表述清楚询问内容， 且安全职责、惩戒措施和岗位操作规程表述与 文件描述一致，则该项为肯定； b)1-4均为肯定，则信息系统符合本单元测评项要求。 测试类别等级测评（二级） 第 4 页 共 5 页等级保护现场检测表 测试对象安全管理 测 试 类人员安全管理 测 试 项第三方人员访问管理 测试要求： 1.第三方人员应在访问前与机构签署安全责任合 同书或保密协议； 2.对重要区域的访问， 须提出书面申请，批准后由专人全程 陪同或监督，并记录备 案。 测试记录： 1.访谈安全主管，询问对第三方人员（如 向系统提供 服务的系统软、硬件 维护人员，业务合作 伙伴、评估人员等）的访问 采取哪些管理措施: 是否要求第三方人员访问前与机构签署安全责任合 同书或保密协议: 否 □ 是 □ 2.访谈安全管理人员，询问对第三方人员访问 重要区域（如访问主机 房等）采取哪些措施: 是否经有关负责人 批准才能访问: 否 □ 是 □ 是否由专人 陪同或监督: 否 □ 是 □ 是否进行记录并备 案管理: 否 □ 是 □ 3.检查安全责任合 同书或保密协议，查看是否有保密范围、 保密责任、 违约责任、 协议的有效期 限和责任人的签字等 : 否 □ 是 □ 4.检查第三方人员访问管理文档，查看是否规定对第三方人员访问哪些 重要区域应经过负责人 批准: 否 □ 是 □ 5.检查第三方人员访问 重要区域的登记记录，查看记录是否描述 了第三方人员访问 重要区域的 进入时间、离开时 间、访问区域及陪同人等信息: 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 1-5均为肯定，则信息系统符合本单元测评项要求 第 5 页 共 5 页