系统建设管理等级保护测评作业指导书（四级）

1、控制编号：SGISL/OP-SA92-10信息安全等级保护测评作业指导书系统建设管理（三级）版 号：第 2 版修 改 次 数：第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA92-10李焕按公安部要求修订詹雄2010.3.8一、系统定级1信息系统边界和安全保护等级测评项编号ADT-JSGL-01-A对应要求应明确信息系统的边界和安全保护等级测评项名称信息系统边界和安全保护等级测评分项1：检查系统边界和安全保护等级。操作步骤访谈管理员，询问是否明确了信息系统的边界范围，是否明确

2、系统安全保护等级。适用版本任何版本实施风险无符合性判定如果信息系统边界范围明确，确定了系统安全保护等级，判定结果为符合；如果信息系统边界范围不明确，或未确定系统安全保护等级，判定结果为不符合。备注2信息系统定级方法和理由测评项编号ADT-JSGL-01-B对应要求应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由测评项名称信息系统定级方法和理由测评分项1：检查系统定级情况。操作步骤访谈管理员，询问系统定级是否参照定级指南的指导，是否对其进行明确描述，说明确定系统为某个安全保护等级的方法和理由，是否有书面说明。适用版本任何版本实施风险无符合性判定如果系统定级参照定级指南的指导，有书面相

3、关的说明，说明确定系统为某个安全保护等级的方法和理由，判定结果为符合；如果系统定级未参照定级指南的指导，或无书面相关的说明，未能说明确定系统为某个安全保护等级的方法和理由，判定结果为不符合。备注3定级结果论证和审定 测评项编号ADT-JSGL-01-C对应要求应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定测评项名称定级结果论证和审定测评分项1：检查系统定级的审定情况。操作步骤访谈管理员，询问系统定级是否组织相关部门和有关安全技术专家对定级结果进行论证和审定，检查论证和审定记录。适用版本任何版本实施风险无符合性判定如果组织相关部门和有关安全技术专家对定级结果进行

4、论证和审定，相关的论证和审定记录，判定结果为符合；如果未组织相关部门和有关安全技术专家对定级结果进行论证和审定，相关的论证和审定记录，判定结果为不符合。备注4定级结果经过相关部门批准测评项编号ADT-JSGL-01-D对应要求应确保信息系统的定级结果经过相关部门的批准测评项名称定级结果经过相关部门批准测评分项1：检查系统定级的审定情况。操作步骤访谈管理员，询问系统定级记录是否经过相关部门（如上级主管部门）的批准。查看相关的文件。适用版本任何版本实施风险无符合性判定如果系统定级结果经过相关部门的批准盖章，判定结果为符合；如果系统定级结果未经过相关部门的批准盖章，判定结果为不符合。备注二、安全方案

5、设计1选择基本安全措施及补充调整测评项编号ADT-JSGL-02-A对应要求应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施测评项名称选择基本安全措施及补充调整测评分项1：检查安全方案设计。操作步骤访谈管理员，询问是否根据系统的安全保护等级选择基本安全措施，是否依据风险分析的结果来补充和调整安全措施。适用版本任何版本实施风险无符合性判定如果根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施，判定结果为符合；如果未根据系统的安全保护等级选择基本安全措施，或未依据风险分析的结果补充和调整安全措施，判定结果为不符合。备注2安全建设总体规划测评项

6、编号ADT-JSGL-02-B对应要求应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划测评项名称安全建设总体规划测评分项1：检查安全方案设计。操作步骤访谈管理员，询问是否指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划，查看工作计划。适用版本任何版本实施风险无符合性判定如果有专门的部门对信息系统的安全建设进行总体规划，有安全建设工作计划，判定结果为符合；如果无专门的部门对信息系统的安全建设进行总体规划，无安全建设工作计划，判定结果为不符合。备注3细化系统安全方案测评项编号ADT-JSGL-02-C对应要求应根据信息系

7、统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件测评项名称细化系统安全方案测评分项1：检查安全方案设计。操作步骤访谈管理员，询问是否根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件，查看相关的详细设计方案。适用版本任何版本实施风险无符合性判定如果有总体建设规划和详细设计方案，判定结果为符合；如果无总体建设规划和详细设计方案，判定结果为不符合。备注4安全技术专家论证和审定 测评项编号ADT-JSGL-02-D对应要求应组织相关部门和有关

8、安全技术专家对总体安全的策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施测评项名称安全技术专家论证和审定测评分项1：检查安全方案设计。操作步骤访谈管理员，询问安全建设方案是否经过专家的详细周全的论证和讨论，批准后才开始实施。适用版本任何版本实施风险无符合性判定如果安全建设方案经过专家的详细周全的论证和讨论，判定结果为符合；如果安全建设方案未经过专家的详细周全的论证和讨论，判定结果为不符合。备注5安全方案调整和修订测评项编号ADT-JSGL-02-E对应要求应根据等级测评、安全评估的结果定期调整和修订总体安全策

9、略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件测评项名称安全方案调整和修订测评分项1：检查安全方案的调整和修订。操作步骤访谈管理员，询问是否根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件；询问调整和修订的周期，检查相应的调整和修订记录。适用版本任何版本实施风险无符合性判定如果定期根据等级测评、安全评估的结果调整安全方案，判定结果为符合；如果未定期根据等级测评、安全评估的结果调整安全方案，判定结果为不符合。备注三、产品采购和使用1安全产品采购和使用符合国家有关规定 测评项编号ADT-JSGL-

10、03-A对应要求应确保安全产品采购和使用符合国家有关规定测评项名称安全产品采购和使用符合国家有关规定测评分项1：检查安全产品采购和使用是否符合国家有关安全产品的规定。操作步骤访谈管理员，询问系统采购和使用的安全产品是否符合国家有关规定，得到国家相关部门的认证。适用版本任何版本实施风险无符合性判定如果系统采购和使用的安全产品符合国家有关规定，得到国家相关部门的认证，判定结果为符合；如果系统采购和使用的安全产品不符合国家有关规定，或未得到国家相关部门的认证，判定结果为不符合。备注2保密码产品采购和使用符合国家密码主管部门要求测评项编号ADT-JSGL-03-B对应要求应确保密码产品采购和使用符合国

11、家密码主管部门的要求测评项名称保密码产品采购和使用符合国家密码主管部门要求测评分项1：检查密码产品采购和使用是否符合国家密码主管部门的规定。操作步骤访谈管理员，询问系统采购和使用的密码产品是否符合国家密码主管部门的规定，得到国家相关部门的认证。适用版本任何版本实施风险无符合性判定如果系统采购和使用的密码产品符合国家有关规定，得到国家相关部门的认证，判定结果为符合；如果系统采购和使用的密码产品不符合国家有关规定，或未得到国家相关部门的认证，判定结果为不符合。备注3专门部门负责产品采购测评项编号ADT-JSGL-03-C对应要求应指定或授权专门的部门负责产品的采购测评项名称专门部门负责产品采购测评

12、分项1：检查产品的采购。操作步骤访谈管理员，询问是否有专门的部门负责产品的采购。适用版本任何版本实施风险无符合性判定如果有专门的部门负责产品的采购，判定结果为符合；如果无专门的部门负责产品的采购，判定结果为不符合。备注4预先产品选型测试测评项编号ADT-JSGL-03-D对应要求应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单测评项名称预先产品选型测试测评分项1：检查采购产品的选型。操作步骤访谈管理员，询问制定采购过程的控制策略，采购前对产品做选型测试，对重要部位的产品是否委托专业的测评单位进行专项测试，确定产品的候选范围，通过招投标方式确定采购产品，是否定期审定和更

13、新候选产品名单。适用版本任何版本实施风险无符合性判定如果有采购控制策略，采购前对产品做选型测试，确定产品的候选范围，通过招投标方式确定要采购的产品，定期审定和更新候选产品名单，判定结果为符合；如果无采购控制策略，采购前未对产品做选型测试，确定产品的候选范围，或未通过招投标方式确定要采购的产品，定期审定和更新候选产品名单，判定结果为不符合。备注四、自行软件开发1开发环境与实际运行环境物理分开，测试数据和测试结果受到控制 测评项编号ADT-JSGL-04-A对应要求应确保开发环境与实际运行环境物理分开，测试数据和测试结果受到控制测评项名称开发环境与实际运行环境物理分开，测试数据和测试结果受到控制测

14、评分项1：检查开发环境。操作步骤需访谈管理员是否自主开发软件，查看开发环境，开发环境与实际运行环境物理上是否分开；查看软件开发是否有控制措施，对测试数据和测试结果进行管理。适用版本任何版本实施风险无符合性判定如果开发环境与实际运行环境物理上分开，制定软件开发的控制措施，能对测试数据和测试结果进行有效控制，判定结果为符合；如果开发环境与实际运行环境物理上未分开，未制定软件开发的控制措施，对测试数据和测试结果进行有效控制，判定结果为不符合。备注2软件开发管理制度测评项编号ADT-JSGL-04-B对应要求应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则测评项名称软件开发管理制度测评

15、分项1：检查软件开发管理制度。操作步骤访谈管理员，检查软件开发管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批，是否明确软件开发相关文档的管理等。适用版本任何版本实施风险无符合性判定如果有软件开发管理制度，对软件的开发过程和人员进行管理，判定结果为符合；如果无软件开发管理制度，对软件的开发过程和人员进行管理，判定结果为不符合。备注3代码编写安全规范测评项编号ADT-JSGL-04-C对应要求应制定代码编写安全规范，要求开发人员参照规范编写代码测评项名称代码编写安全规范测评分项1：检查代码编写规范。操作步骤访谈管理员，检查是否

16、有代码编写安全规范，开发人员参照规范编写代码。适用版本任何版本实施风险无符合性判定如果有代码编写安全规范，开发软件参照规范编写，判定结果为符合；如果无代码编写安全规范，开发软件未参照规范编写，判定结果为不符合。备注4软件设计相关文档和使用指南测评项编号ADT-JSGL-04-D对应要求应确保提供软件设计的相关文档和使用指南，并由专人负责保管测评项名称软件设计相关文档和使用指南测评分项1：检查软件设计相关文档的保管。操作步骤访谈管理员，询问软件设计相关文档是否有专人负责保管。适用版本任何版本实施风险无符合性判定如果有专人负责保管软件设计相关文档，判定结果为符合；如果无专人负责保管软件设计相关文档

17、，判定结果为不符合。备注5程序资源库修改、更新、发布进行授权和批准测评项编号ADT-JSGL-04-E对应要求应确保对程序资源库的修改、更新、发布进行授权和批准测评项名称程序资源库修改、更新、发布进行授权和批准测评分项1：检查程序资源库的修改、更新、发布进行授权和批准。操作步骤访谈管理员，查看是否制定软件开发管理制度，对程序资源库的修改、更新、发布进行授权和批准等方面进行要求。适用版本任何版本实施风险无符合性判定如果有软件开发管理制度，对程序资源库的修改、更新、发布进行授权和批准等方面进行要求，判定结果为符合；如果无软件开发管理制度，对程序资源库的修改、更新、发布进行授权和批准等方面进行要求，

18、判定结果为不符合。备注五、外包软件开发1软件质量测试测评项编号ADT-JSGL-05-A对应要求应根据开发要求测试软件质量测评项名称软件质量测试测评分项1：检查测试软件质量的要求。操作步骤访谈管理员，询问是否根据要求测试软件的质量。适用版本任何版本实施风险无符合性判定如果软件交付使用前，根据相关的要求测试软件的质量，判定结果为符合；如果软件交付使用前，未根据相关的要求测试软件的质量，判定结果为不符合。备注2检测软件包恶意代码 测评项编号ADT-JSGL-05-B对应要求应在软件安装之前检测软件包中可能存在的恶意代码测评项名称检测软件包恶意代码测评分项1：恶意代码检查。操作步骤访谈管理员，在软件

19、安装使用前是否有恶意代码检测的规定，是否进行了恶意代码测试。适用版本任何版本实施风险无符合性判定如果在软件安装使用前有进行恶意代码检测的规定，并进行了恶意代码测试，判定结果为符合；如果在软件安装使用前无进行恶意代码检测的规定，未进行了恶意代码测试，判定结果为不符合。备注3软件设计相关文档和使用指南测评项编号ADT-JSGL-05-C对应要求应要求开发单位提供软件设计的相关文档和使用指南测评项名称软件设计相关文档和使用指南测评分项1：检查设计文档使用指南操作步骤访谈管理员，是否要求开发单位提供软件设计的相关文档、使用指南，检查这些文档。适用版本任何版本实施风险无符合性判定如果有软件设计的相关文档

20、和使用指南，判定结果为符合；如果无软件设计的相关文档和使用指南，判定结果为不符合。备注4软件源代码检查测评项编号ADT-JSGL-05-D对应要求应要求开发单位提供软件源代码，并审查软件中可能存在的后门测评项名称软件源代码检查测评分项1：软件源代码检查。操作步骤访谈管理员，是否要求开发单位提供软件源代码，是否审查软件中可能存在的后门。适用版本任何版本实施风险无符合性判定如果有开发单位提供软件源代码，在软件安装前对软件中可能存在的后门进行审查，判定结果为符合；如果无开发单位提供软件源代码，在软件安装前对软件中可能存在的后门未进行审查，判定结果为不符合。备注六、工程实施1工程实施管理测评项编号AD

21、T-JSGL-06-A对应要求应指定或授权专门的部门或人员负责工程实施过程的管理测评项名称工程实施管理测评分项1：检查工程实施管理。操作步骤访谈管理员，询问是否指定或授权专门的部门或人员负责工程实施过程的管理。适用版本任何版本实施风险无符合性判定如果应用专门的部门或人员负责工程实施和管理，判定结果为符合；如果未应用专门的部门或人员负责工程实施和管理，判定结果为不符合。备注2工程实施方案测评项编号ADT-JSGL-06-B对应要求应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程测评项名称工程实施方案测评分项1：检查工程实施方案。操作步骤访谈管理员，询问是否制定详细

22、的工程实施方案，控制工程实施过程，是否要求工程实施单位能正式地执行安全工程过程，查看工程实施方案。适用版本任何版本实施风险无符合性判定如果有工程实施方案，工程实施单位正式地执行安全工程过程，判定结果为符合；如果无工程实施方案，工程实施单位未正式地执行安全工程过程，判定结果为不符合。备注3工程实施管理制度测评项编号ADT-JSGL-06-C对应要求应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则测评项名称工程实施管理制度测评分项1：检查工程实施管理制度。操作步骤访谈管理员，询问是否制定了工程实施方面的管理制度，对工程实施的进度、质量、过程等方面进行规范，是否将控制方法和工程人

23、员行为规范制度化，否以书面形式（如工程安全建设协议）约束工程实施方的工程实施行为。适用版本任何版本实施风险无符合性判定如果有工程实施方面的管理制度，工程实施过程、控制方法、人员行为进行规范，判定结果为符合；如果无工程实施方面的管理制度，工程实施过程、控制方法、人员行为进行规范，判定结果为不符合。备注七、测试验收1第三方安全性测试测评项编号ADT-JSGL-07-A对应要求应委托工程的第三方测试单位对系统进行安全性测试，并出具安全性测试报告测评项名称第三方安全性测试测评分项1：检查系统安全性测试验收。操作步骤访谈管理员，询问在信息系统正式运行前，是否委托第三方测试机构根据设计方案或合同要求对信息

24、系统进行独立的安全性测试，并出具安全性测试报告。适用版本任何版本实施风险无符合性判定如果在信息系统正式运行前，委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试，有安全性测试报告，判定结果为符合；如果在信息系统正式运行前，未委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试，无安全性测试报告，判定结果为不符合。备注2安全性测试验收报告 测评项编号ADT-JSGL-07-B对应要求在测试验收前应根据设计方案或合同要求等制定测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告测评项名称安全性测试验收报告测评分项1：检查系统安全性测试验收。

25、操作步骤访谈管理员，询问在信息系统正式运行前，是否根据设计方案或合同要求制订测试验收方案，对信息系统进行测试，并详细记录测试结构，查看形成测试验收报告。适用版本任何版本实施风险无符合性判定如果在信息系统正式运行前，制订测试验收方案，对信息系统进行测试，有测试验收报告，判定结果为符合；如果在信息系统正式运行前，未制订测试验收方案，对信息系统进行测试，或无测试验收报告，判定结果为不符合。备注3书面规定测试验收的控制方法和人员行为准则测评项编号ADT-JSGL-07-C对应要求应对系统测试验收的控制方法和人员行为准则进行书面规定测评项名称书面规定测试验收的控制方法和人员行为准则测评分项1：检查测试验

26、收的控制方法和人员控制。操作步骤访谈管理员，询问是否有测试管理制度，对系统测试验收的控制方法和人员行为准则进行书面规定。适用版本任何版本实施风险无符合性判定如果有测试管理制度，对系统测试验收的控制方法和人员行为准则进行书面规定，判定结果为符合；如果无测试管理制度，未对系统测试验收的控制方法和人员行为准则进行书面规定，判定结果为不符合。备注 4系统测试验收授权及完成测评项编号ADT-JSGL-07-D对应要求应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试的验收工作测评项名称系统测试验收授权及完成测评分项1：检查测试验收管理。操作步骤访谈管理员，询问是否指定或授权专

27、门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试的验收工作。适用版本任何版本实施风险无符合性判定如果有专门的部门负责系统测试验收工作，判定结果为符合；如果无专门的部门负责系统测试验收工作，判定结果为不符合。备注5测试验收报告审定测评项编号ADT-JSGL-07-E对应要求应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认测评项名称测试验收报告审定测评分项1：检查测试验收报告审定。操作步骤访谈管理员，询问是否组织相关部门和相关人员对系统测试验收报告进行审定，查看测试报告是否提出存在问题及改进意见等。适用版本任何版本实施风险无符合性判定如果组织了相关部门和相关人员对系统

28、测试验收报告进行审定，判定结果为符合；如果未组织相关部门和相关人员对系统测试验收报告进行审定，判定结果为不符合。备注八、系统交付1系统交付清单测评项编号ADT-JSGL-08-A对应要求应制定详细的系统缴费清单，并根据交付清单对所交接的设备、软件和文档等进行清点测评项名称系统交付清单测评分项1：检查交付清单。操作步骤访谈管理员，询问是否有交接手续，是否制订系统交付清单，交付清单是否满足合同的有关要求，是否根据交付清单对所交接的设备、软件和文档等进行清点。适用版本任何版本实施风险无符合性判定如果有交接手续，有系统交付清单，交付清单满足合同的有关要求，判定结果为符合；如果无交接手续，有系统交付清单

29、，交付清单不满足合同的有关要求，判定结果为不符合。备注2运行维护技术人员技能培训 测评项编号ADT-JSGL-08-B对应要求应对负责系统运行维护的技术人员进行相应的技能培训测评项名称运行维护技术人员技能培训测评分项1：检查培训工作。操作步骤访谈管理员，询问目前的信息系统是否由内部人员独立运行维护，如果是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面进行过培训，是否以书面形式承诺对系统运行维护提供一定的技术支持服务，是否按照服务承诺书的要求进行过技术支持，以何形式进行。适用版本任何版本实施风险无符合性判定如果系统由内部人员独立运行维护，系统建设实施方应对运维技术人员进行过培训，提供

30、系统运维的技术支持，判定结果为符合；如果系统由内部人员独立运行维护，系统建设实施方应对运维技术人员未进行过培训，未提供系统运维的技术支持，判定结果为不符合。备注3系统运行维护文档测评项编号ADT-JSGL-08-C对应要求应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档测评项名称系统运行维护文档测评分项1：检查提交的系统运行维护的文档。操作步骤访谈管理员，询问系统建设实施方是否提供了建设过程中的使用的文档和指导用户进行系统运行维护的文档。适用版本任何版本实施风险无符合性判定如果有系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档，判定结果为符合；如果无

31、系统建设实施方是否提供的建设过程中的使用的文档和指导用户进行系统运行维护的文档，判定结果为不符合。备注4书面规定系统交付的控制方法和人员行为准则 测评项编号ADT-JSGL-08-D对应要求应对系统交付的控制方法和人员行为准则进行书面规定测评项名称书面规定系统交付的控制方法和人员行为准则测评分项1：检查系统交付的控制方法和人员控制。操作步骤访谈管理员，询问是否有交付管理制度，对系统交付的控制方法和人员行为准则进行书面规定。适用版本任何版本实施风险无符合性判定如果有系统交付管理制度，对系统交付的控制方法和人员行为准则进行书面规定，判定结果为符合；如果无系统交付管理制度，对系统交付的控制方法和人员

32、行为准则进行书面规定，判定结果为不符合。备注5系统交付管理工作授权及完成测评项编号ADT-JSGL-08-E对应要求应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作测评项名称系统交付管理工作授权及完成测评分项1：检查系统交付管理。操作步骤访谈管理员，询问是否指定或授权专门的部门负责系统交付的管理，并按照系统交付规定的要求完成系统交付收工作。适用版本任何版本实施风险无符合性判定如果有专门的部门负责系统交付工作，判定结果为符合；如果无专门的部门负责系统交付工作，判定结果为不符合。备注九、系统备案1系统定级材料管理 测评项编号ADT-JSGL-09-A对应要求应指定

33、专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用测评项名称系统定级材料管理测评分项1：检查系统备案管理。操作步骤访谈管理员，询问是否有专门的人员或部门负责管理系统定级、系统属性等文档的管理，对这些文档的使用是否有控制措施。适用版本任何版本实施风险无符合性判定如果有专门的人员或部门负责管理系统定级、系统属性等文档的管理，对这些文档的使用有控制措施，如限制使用范围、使用登记记录等，判定结果为符合；如果无专门的人员或部门负责管理系统定级、系统属性等文档的管理，对这些文档的使用有控制措施，如限制使用范围、使用登记记录等，判定结果为不符合。备注2系统主管部门备案 测评项编号ADT-JSG

34、L-09-B对应要求应将系统等级的相关材料报系统主管部门备案测评项名称系统主管部门备案测评分项1：检查系统备案管理。操作步骤访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报主管部门备案，查看备案纪录。适用版本任何版本实施风险无符合性判定如果将系统定级文档和系统属性说明文件等材料报主管部门备案，有备案记录，判定结果为符合；如果未将系统定级文档和系统属性说明文件等材料报主管部门备案，或无备案记录，判定结果为不符合。备注3备案材料报送相应公安机关备案测评项编号ADT-JSGL-09-C对应要求应将系统等级及其他要求的备案材料报送相应公安机关备案测评项名称备案材料报送相应公安机关备案测评分

35、项1：检查系统备案管理。操作步骤访谈管理员，询问是否将系统定级文档和系统属性说明文件等材料报公安机关备案，查看备案记录。适用版本任何版本实施风险无符合性判定如果将系统定级文档和系统属性说明文件等材料报公安机关备案，有备案记录，判定结果为符合；如果未将系统定级文档和系统属性说明文件等材料报公安机关备案，无备案记录，判定结果为不符合。备注十、等级测评1每年一次等级测评及整改 测评项编号ADT-JSGL-10-A对应要求在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改测评项名称每年一次等级测评及整改测评分项1：检查等级测评管理。操作步骤访谈管理员，询问在系

36、统运行过程中，多长时间对系统进行一次等级测评，对于发现不符合相应等级保护标准要求是否能及时整改。适用版本任何版本实施风险无符合性判定如果至少每年对系统进行一次等级测评，对于发现不符合相应等级保护标准要求能够及时整改，有整改记录，判定结果为符合；如果未达到至少每年对系统进行一次等级测评，对于发现不符合相应等级保护标准要求能够及时整改，或无整改记录，判定结果为不符合。备注2系统变更进行等级测评 测评项编号ADT-JSGL-10-B对应要求应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造；发现不符合相应等级保护标准要求的及时整改测评项名称系统变更进行等级测评测评分项1：检查等级测评管理。操作步骤访谈管理员，询问在系统发生变更时是否能及时对系统进行等级测评，发现级别发生变化能否及时调整级别并进行安全改造；发现不符合相应等级保护标准要求能否及时整改，查看调整记录。适用版本任何版本实施风险无符合性判定如果在系统发生变更时能及时对系统进行等级测评，发现级别发生变化能及时调整级别并进行安全改造；发现不符合相应等