( 单位) 系统 等级保护三级测评 现场检测表 测试对象范围：安全管理 测试对象名称：安全管理机构 配合人员签字： 测试人员签字： 核实人员签字： 测试日期： 结果统计: 测评项 测评结果1岗位设置 □符合 □部分符合 □不符合 2人员配备 □符合 □部分符合 □不符合 3授权和审批 □符合 □部分符合 □不符合 4沟通和合作 □符合 □部分符合 □不符合 5审核和检查 □符合 □部分符合 □不符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类安全管理机构 测 试 项岗位设置 测试要求： 1.应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责 人，定义各负责人的职责； 2.应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职 责； 3.应成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导 委任或授权； 4.应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 测试记录： 1.是否设立指导和管理信息安全工作的委员会或领导小组？ 否 □ 是 □ 〇 最高领导是否由单位主管领导委任或授权的人员担任？ 否 □ 是 □ 2.是否设立专职的安全管理机构（即信息安全管理工作的职能部门）？ 否 □ 是 □ 〇 机构内部门设置情况如何？ 〇 是否明确各部门职责分工 ? 否 □ 是 □ 3.是否设立安全管理各个方面的负责人，设置了哪些工作岗位 ? 〇安全主管 □ 〇安全管理各个方面的负责人 □ 〇机房管理员 □ 〇系统管理员 □ 〇网络管理员 □ 〇安全员 □ 是否明确各个岗位的职责分工 ? 否 □ 是 □ 4.访谈安全主管、安全管理某方面的负责人、信息安全管理委员会或领导小组日常管理 工作的负责人、系统管理员、网络管理员和安全员， 询问其岗位职责的内容， 表述是 否与文件描述一致： 否 □ 是 □ 5.检查部门、岗位职责文件，查看文件是否明确安全管理机构的职责？ 否 □ 是 □ 〇是否明确机构内各部门的职责和分工？ 否 □ 是 □ 〇部门职责是否涵盖物理、网络和系统等各个方面？ 否 □ 是 □ 〇是否明确设置安全主管、安全管理各个方面的负责人、机房管理员、 系 统管理员、网络管理员、安全员等各个岗位？ 否 □ 是 □ 〇各个岗位的职责范围是否清晰、明确？ 否 □ 是 □ 〇文件是否明确各个岗位人员应具有的技能要求？ 否 □ 是 □ 6.检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权 书？ 否 □ 是 □ 7.检查信息安全管理委员会职责文件，查看是否明确描述委员会的职责和其最高领导岗 位的职责？ 否 □ 是 □ 8.安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的 文件或工作记录（如会议记录 /纪要和信息安全工作决策文档等）？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录4被访谈人员表述与文件描述一致，则该项为肯定； 测试记录1-8项全部符合即视为符合； 测试类别等级测评（三级） 测试对象安全管理 测 试 类安全管理机构 测 试 项人员配备 测试要求： 1.应配备一定数量的系统管理人员、网络管理人员、安全管理人员等； 2.应配备专职安全管理人员不可兼任； 3.关键岗位应定期轮岗。 测试记录： 1.机房管理员： 〇 数量 〇 专职□ 兼职□ 系统管理员： 〇 数量 〇 专职□ 兼职□ 数据库管理员 〇 数量 〇 专职□ 兼职□ 网络管理员 〇 数量 〇 专职□ 兼职□ 安全员 〇 数量 〇 专职□ 兼职□ 2.实行定期轮岗的关键岗位有： ； 轮岗情况如何： ： 轮岗周期多长： ； 轮岗手续如何： 3.安全管理人员是否包括： 机房管理员 □ 系统管理员 □ 数据库管理员 □ 网络管理员 □ 安全员 □ 是否明确配备专职的安全员？ 否 □ 是 □ 哪些关键岗位（应有列表）实行定期轮岗： 轮岗周期： 4.是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位 人员的信息？ 否 □ 是 □ 〇安全员是否是专职人员。 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 如果测试记录1设置的安全员是专职的，则该项为肯定； 测试记录1-4项全部符合即视为符合。 测试类别等级测评（三级） 测试对象安全管理 测 试 类安全管理机构 测 试 项授权和审批 测试要求： 1.应授权审批部门及批准人，对关键活动进行审批； 2.应列表说明须审批的事项、审批部门和可批准人； 3.应建立各审批事项的审批程序，按照审批程序执行审批过程； 4.应建立关键活动的双重审批制度； 5.不再适用的权限应及时取消授权； 6.应定期审查、更新需授权和审批的项目； 7.应记录授权过程并保存授权文档。 测试记录： 1.是否规定对信息系统中的关键活动进行审批？ 否 □ 是 □ 〇 审批部门是何部门？ 〇 批准人是何人 〇 他们的审批活动是否得到授权？ 否 □ 是 □ 〇 是否定期审查、更新审批项目？ 否 □ 是 □ 〇 审查周期多长？ 2.对关键活动的审批范围包括哪些？ 〇网络系统 □ 〇应用系统 □ 〇数据库管理系统 □ 〇重要服务器和设备等重要资源的访问 □〇重要管理制度的制定和发布 □ 〇人员的配备、培训 □ 〇产品的采购 □ 〇第三方人员的访问、管理 □ 〇与合作单位的合作项目 □ 〇其他 审批程序如何： 3.授权管理文件是否包含需审批事项列表？（如列表说明哪些事项应经过信息 安全领导小组审批，哪些事项应经过安全管理机构审批，哪些关键活动应经 过哪些部门双重审批等） 否 □ 是 □ 〇列表是否明确： 审批事项和双重审批事项 □ 审批部门 □ 批准人及审批程序 □ 〇文件是否说明应定期审查、更新需审批的项目和审查周期 等： 否 □ 是 □ 4.经双重审批的文档是否具有双重批准人的签字和审批部门的盖章？ 否 □ 是 □ 5.检查关键活动的审批过程记录，关键活动的审批过程记录的审批程序与文件 要求是否一致？ 否 □ 是 □ 6.检查是否具有对不再适用的权限及时取消授权的记录 否 □ 是 □ 7.检查审查记录，审查记录日期是否与审查周期一致？ 否 □ 是 □ 测试结果： □符合 □部分符合 □不符合 备注： 测试记录1-7项全部符合即视为符合 测试类别等级测评（三级） 测试对象安全管理 测 试 类安全管理机构 测 试 项沟通和合作 测试要求： 1.应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会 议，共同协 助处理信息安全问 题； 2.信息安全职能部门应定期或不定期召 集相关部门和人员召开安全工作会议，协调安全 工作的实 施； 3.信息安全领导小组或 者安全管理委员会定期召开 例会，对信息安全工作进行指导、决 策； 4.应加强与 兄弟单位、公安机关、 电信公司的合作与沟通， 以便在发生安全事件时能 够 得到及时的 支持； 5.应加强与 供应商、业界专家、专业的安全公司、安全组织的合作与沟通， 获取信息安全的最新发 展动态，当发生紧急事件的时 候能够及时得到 支持和帮助； 6.应文件说明 外联单位、合作内容和 联系方式； 7.应聘请信息安全专 家作为常年的安全顾问，指导信息安全建设， 参与安全规 划和安全 评审等。 测试记录： 1.是否建立与 外单位（公安机关、 电信公司、兄弟单位、供应商、业界专家、 专业的安全公司、安全组织等），与组织机构内其 它部门之间及内部各部门 管理人员之间的沟通、合作机制 ? 否 □ 是 □ 〇与外单位和其他部门有哪些合作内容 〇沟通、合作方 式 2.是否召开过部门间协调会议，组织其 它部门人员共同协 助处理信息系统安全 有关问题? 否 □ 是 □ 安全管理机构内部是否召开过安全工作会议部 署安全工作的实 施? 否 □ 是 □