信息安全等级保护-测评对象确定原则和方法

B.2.2第二级信息系统第二级信息系统的等级测评，测评对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：1．主机房（包括其环境、设备和设施等），如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施，那么也应该作为测评对象；2．存储被测系统重要数据的介质的存放环境；3．整个系统的网络拓扑结构；4．安全设备，包括防火墙、入侵检测设备、防病毒网关等；5．边界网络设备（可能会包含安全设备），包括路由器、防火墙和认证网关等；6．对整个信息系统或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等；7．承载被测系统核心或重要业务、数据的服务器（包括其操作系统和数据库）；8．重要管理终端；9．能够代表被测系统主要使命的业务应用系统；10．信息安全主管人员、各方面的负责人员；11．涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。B.2.3第三级信息系统第三级信息系统的等级测评，测评对象种类上基本覆盖、数量进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：1．主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；2．存储被测系统重要数据的介质的存放环境；3．办公场地；4．整个系统的网络拓扑结构；5．安全设备，包括防火墙、入侵检测设备和防病毒网关等；6．边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；7．对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；8．承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；9．管理终端和主要业务应用系统终端；10．能够完成被测系统不同业务使命的业务应用系统；11．业务备份系统；12．信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；13．涉及到信息系统安全的所有管理制度和记录。在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。