59.网络安全等级保护测评2.0作业指导书（安全建设管理）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

安全通用要求

1 定级和备案 a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由； 记录表单类文档 应核查定级文档是否明确保护对象的安全保护等级，是否说明定级的方法和理由； 有描述信息系统等级划分方法和理由的书面文档；查看信息系统等级保护定级申请书。 符合：已备案系统默认为符合；文档（定级报告）中明确等级划分方法和理由；

不符合：无定级报告。

2 b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定； 记录表单类文档 应核查定级结果的论证评审会议记录是否有相关部门和有关安全技术专家对定级结果的论证意见； 有专家对定级结果论证和审定的文档。 符合：已备案系统默认为符合；有相关部门或安全技术专家的定级评审文档；由公安部组织行业条线给出统一定级标准。

不符合：其他情况为不符合。

3 c)应保证定级结果经过相关部门的批准； 记录表单类文档 应核查定级结果部门审批文档是否有上级主管部门或本单位相关部门的审批意见； 定级结果有相关部门的批准盖章。 符合：已备案默认为符合；有上级主管部门批准文档；无上级主管部门的，由安全主管的批准；

不符合：其他情况为不符合。

4 d)应将备案材料报主管部门和相应公安机关备案。 记录表单类文档 应核查是否具有公安机关出具的备案证明文档； 具有公安机关出具的备案证明。 符合：有备案证，则结果为符合

5 安全方案设计 a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施； 安全规划设计类文档 应核查安全设计文档是否根据安全保护等级选择安全措施，是否根据安全需求调整安全措施； 根据系统的安全级别选择基本的安全措施，并根据风险评估结果补充和调整相应措施。 符合：如根据等保要求进行过全面的自查或对比并采取了调整措施的可认为符合；未调整过的，查看已有方案，能满足相应等级要求的认为符合；部分符合：在风险分析时进行了安全措施的补充和调整；不符合：未根据系统的安全保护等级选择基本安全措施。

6 b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件； 安全规划设计类文档 应核查是否有总体规划和安全设计方案等配套文件，设计方案中应包含密码技术相关内容； 根据信息系统的等级划分情况，形成统一的安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等配套文件。 符合：安全设计方案、安全管理策略、安全建设规划文档较齐全且内容较完善；不符合：无安全设计规划文档，安全管理策略大面积缺失。

7 c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。 记录表单类文档 应核查配套文件的论证评审记录或文档是否有相关部门和有关安全技术专家对总体安全规划、安全设计方案等相关配套文件的批准意见和论证意见； 有相关部门和有关安全技术专家对相关配套文件进行论证和审定，并出具评审意见，方案由机构管理层批准。（拍照） 符合：有专家评审意见，并经主管部门或管理层批准，技术方案进行过内或外部的专家评审，管理制度经过内部评审；不符合：安全策略、技术框架等未进行内外部的评审或论证，也未经管理层审核批准而实施。

8 产品采购和使用 a)应确保网络安全产品采购和使用符合国家的有关规定； 记录表单类文档 应核查有关网络安全产品是否符合国家的有关规定，如网络安全产品获得了销售许可等； 对系统信息安全产品采购制定了相关规定（包括使用采购清单、采购过程控制等要求），且系统使用符合国家规定的信息安全产品。 符合：有安全产品采购流程及相关实施文档（采购清单、采购实施文档），且系统使用的安全产品具备销售许可资质并均为国内产品；不符合：无明确的采购流程，且安全产品均为国外产品。

9 b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求； 建设负责人和记录表单类文档 1)应访谈建设负责人是否采用了密码产品及其相关服务；2)应核查密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求。 密码产品的使用情况应符合国家密码主管部门的要求和密码产品使用、管理的相关规定。 符合：采用了符合国家密码管理部门许可的密码产品；不适用：系统中未使用密码产品的情况。

10 c)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 记录表单类文档 应核查是否具有产品选型测试结果文档、候选产品采购清单及审定或更新的记录； 在采购产品前预先对产品进行选型测试确定候选范围，定