测评时间：
问题描述
现场测评确认:
整改建议
现场记录
该系统外包，委托第三方开发
该系统外包，委托第三方开发
该系统外包，委托第三方开发
该系统外包，委托第三方开发
该系统外包，委托第三方开发 有根据开发需求检测软件质量 已在软件安装之前检测软件包中可能存在的恶
意代码 已要求开发单位提供软件设计的相关文档和使
用指南
没有委托第三方测试 机构对信息系统进行 独立的安全性测试。 不满足测评项“测试 验收：a)应委托公正 的第三方测试单位对 系统进行安全性测 试，并出具安全性测 试报告；”的安全要 求
整改建议 建议对外包软件开发 的源代码中可能存在 的后门进行审查
建议委托第三方测试 机构对信息系统进行 独立的安全性测试
系统建设管理(三级)测评表
测评对象：
测评人：
测评时间：
现场测评确认:
序号 5
测评指标
指外标包 开名 软 发件称
测评项
d)应要求开发单位 提供软件源代码， 并审查软件中可能 存在的后门。
a)应指定或授权专 门的部门或人员负 责工程实施过程的 管理； b)应制定详细的工 程实施方案控制实 施过程，并要求工 6 工程实施 程实施单位能正式 地执行安全工程过 程； c)应制定工程实施 方面的管理制度， 明确说明实施过程 的控制方法和人员 行为准则。
c)应确保选定的安
全服务商提供技术
培训和服务承诺，
必要的与其签订服
务合同。
要求项符合情况 符合 符合 符合 符合
符合
测评时间：
问题描述
现场测评确认:
整改建议
现场记录
有选择具有国家相关技术资质和安全资质的测 评单位进行等级测评，测评机构名称：广州华
南信息安全测评中心
各信息系统的建设科室或者使用科室有制定人 员负责等级测评的管理
现场记录
未要求开发单位提供软件源代码，且未对 对外包软件开发的源代码中可能存在的后 门进行审查
已指定或授权专门的部门或人员负责工程实施 过程的管理，由宣传处办公室负责
已制定详细的工程实施方案控制实施过程，并 要求工程实施单位能正式地执行安全工程过程
已制定工程实施方面的管理制度，明确说明实 施过程的控制方法和人员行为准则
已确保提供系统建设过程中的文档和指导用户 进行系统运行维护的文档
系统建设管理(三级)测评表
测评对象：
测评人：
8 序号
系统交付 测评指标
指标名称
测评项
d)应对系统交付的
控制方法和人员行
为准则进行书面规
定；
e)应指定或授权专
门的部门负责系统
交付的管理工作，
并按照管理规定的
要求完成系统交付
工作。
a)应指定专门的部
门或人员负责管理
系统定级的相关材
料，并控制这些材
料的使用；
9
系统备案
b)应将系统等级及 相关材料报系统主
管部门备案；
c)应将系统等级及
其他要求的备案材
料报相应公安机关
备案。
a)在系统运行过程
中，应至少每年对
系统进行一次等级
测评，发现不符合
相应等级保护标准
要求的及时整改
b)应在系统发生变
更时及时对系统进
面规定；
d)应指定或授权专
门的部门负责系统
测试验收的管理，
并按照管理规定的
要求完成系统测试
验收工作；
e)应组织相关部门
和相关人员对系统
测试验收报告进行
审定，并签字确认
。
a)应制定详细的系
统交付清单，并根
据交付清单对所交
接的设备、软件和
文档等进行清点；
b)应对负责系统运
行维护的技术人员
进行相应的技能培
没有委托第三方测试机构对信息系统进行 独立的安全性测试
系统建设管理(三级)测评表
测评对象：
测评人：
序号
测评指标
指标名称
测评项
b)在测试验收前应
根据设计方案或合
同要求等制订测试
验收方案，在测试
验收过程中应详细
记录测试验收结
7 测试验收 果，并形成测试验
收报告；
c)应对系统测试验
收的控制方法和人
员行为准则进行书
施
由科技化信息处对信息系统的安全建设进行总 体规划，制定近期和远期的安全建设工作计划
已根据信息系统的等级划分情况，统一考虑安 全保障体系的总体安全策略、安全技术框架、
安全管理策略、总体建设规划和详细设计方 案，并形成配套文件
系统建设管理(三级)测评表
测评对象：
测评人：
序号
测评指标
2
指安标全名 方案称
测评时间：
问题描述
现场测评确认:
整改建议
现场记录
各科室组织相关部门和有关安全技术专家对信 息系统定级结果的合理性和正确性进行论证和 审定，通过科技化信息处统筹组织相关部门和 有关专家，进行整个网络系统安全的论证和审
定，有论证意见记录
有根据等级测评、安全评估的结果定期调整和 修订总体安全策略、安全技术框架、安全管理 策略、总体建设规划、详细设计方案等相关配
系统建设管理(三级)测评表
测评对象：
测评人：
序号
测评指标
指标名称
测评项
a)应明确信息系统
的边界和安全保护
等级；
b)应以书面的形式
说明确定信息系统
为某个安全保护等
级的方法和理由；
1
系统定级
c)应组织相关部门 和有关安全技术专
家对信息系统定级
结果的合理性和正
确性进行论证和审
定；
d)应确保信息系统
的定级结果经过相
有对系统测试验收的控制方法和人员行为准则 进行书面规定
各科室建立的系统各自负责系统测试验收的管 理，并按照管理规定的要求完成系统测试验收
工作
已组织各科室和相关人员对其相关系统测试验 收报告进行审定，并签字确认
已制定详细的系统交付清单，并根据交付清单 对所交接的设备、软件和文档等进行清点
已对负责系统运行维护的技术人员进行相应的 技能培训
行等级测评，发现
级别发生变化的及
时调整级别并进行
10 等级测评 安全改造，发现不
符合相应等级保护
标准要求的及时整
改；
要求项符合情况 符合 符合 符合 符合 符合 N/A
N/A
测评时间：
问题描述
现场测评确认:
整改建议
现场记录
已对系统交付的控制方法和人员行为准则进行 书面规定
由建设系统的科室负责系统交付的管理工作， 并按照管理规定的要求完成系统交付工作
设计的相关文档和
使用指南，并由专
人负责保管；
d)应确保对程序资
源库的修改、更新
、发布进行授权和
批准。
a)应根据开发需求
检测软件质量；
b)应在软件安装之
前检测软件包中可
能存在的恶意代
码；
c)应要求开发单位
提供软件设计的相
5
外包软件 关文档和使用指 开发 南；
要求项符合情况 N/A
N/A N/A N/A N/A 符合 符合 符合
训；
c)应确保提供系统
建设过程中的文档
8
系统交付
和指导用户进行系 统运行维护的文
档；
要求项符合情况 符合 符合 符合 符合 符合 符合 符合
测评时间：
问题描述
现场测评确认:
整改建议
现场记录
在测试验收前有根据设计方案或合同要求等制 订测试验收方案，在测试验收过程中应详细记
录测试验收结果，并形成测试验收报告
测评对象：
测评人：
序号
测评指标
指标名称
测评项
a)应确保开发环境
与实际运行环境物
理分开，开发人员
和测试人员分离，
测试数据和测试结
果受到控制；
b)应制定软件开发
管理制度，明确说
明开发过程的控制
方法和人员行为准
4
自行软件 开发
则； c)应制定代码编写 安全规范，要求开
发人员参照规范编
写代码；
d)应确保提供软件
a)应委托公正的第 三方测试单位对系 统进行安全性测 试，并出具安全性 测试报告；
要求项符合情况 不符合 符合 符合 符合
不符合
问题描述 未对外包软件开发的 源代码中可能存在的 后门进行审查。不满 足测评项“外包软件 开发：d)应要求开发 单位提供软件源代 码，并审查软件中可 能存在的后门。”的 安全要求
由宣传处负责管理系统定级的相关材料，并控 制这些材料的使用。
将系统等级及相关材料报系统主管部门备案， 报送到省网监处
有将系统等级及其他要求的备案材料报相应公 安机关备案
该系统今年第一次等级保护测评，现阶段为差 距测评
该系统今年第一次等级保护测评，测评过程中 在系统发生变更时及时对系统进行等级测评，
发现级别发生变化的及时调整级别
关部门的批准。
a)应根据系统的安
全保护等级选择基
本安全措施，并依
据风险分析的结果
补充和调整安全措
施；
b)应指定和授权专
门的部门对信息系
统的安全建设进行
总体规划，制定近
期和远期的安全建
设工作计划；
c)应根据信息系统
的等级划分情况，
统一考虑安全保障
体系的总体安全策
略、安全技术框架
、安全管理策略、
总体建设规划和详
已确保安全服务商的选择符合国家的有关规定
已与选定的安全服务商签订与安全相关的协 议，明确约定相关责任