等保三级-安全管理-人员安全管理

（单位）系统等级保护三级测评现场检测表测试对象范围安全管理测试对象名称人员管理安全配合人员签字测试人员签字核实人员签字测试日期结果统计:测评项测评结果1人员录用口符合口部分符合口不符合人员离岗口符合口部分符合口不符合2人员考核口符合口部分符合口不符合3安全意识教育与培训口符合口部分符合口不符合4第三方人员访问管理口符合口部分符合口不符合5测试类别等级测评（三级）测试对象安全管理测试类人员安全管理测试项人员录用测试要求应保证被录用人具备基本的专业技术水平和安全管理知识；

1.应对被录用人的身份、背景、专业资格和资质进行审查；

2.应对被录用人所具备的技术技能进行考核；

3.应对被录用人说明其角色和职责；

4.应签署保密协议；

5.对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查；

6.对从事关键岗位的人员应签署岗位安全协议

7.测试记录.在人员录用时对人员条件有哪些要求？

1.目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作？否口是口在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查？

2.否口是口对技术人员的技术技能进行考核，录用后是否与其签署保密协议？O否口是口是否对其说明工作职责？否口是口对从事关键岗位的人员是否从内部人员中选拔？

3.否口是口是否要求其签署岗位安全安全协议？否口是口是否定期对关键岗位人员进行信用审查？否口是口审查周期多长？_______________________________O人员录用要求管理文档是否说明录用人员应具备的条件？（如学历、学位要求，技术人员应具

4.备的专业技术水平，管理人员应具备的安全管理知识等）否口是口是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记

5.录？否口是口查看是否记录审查内容和审查结果等？否口是口技能考核文档或记录是否记录考核内容和考核结果等？

6.否口是口保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容？

7.否口是口岗位安全协议是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容？否口

8.是口信用审查记录是否记录了审查内容和审查结果等？

9.否口是口查看审查时间与审查周期是否一致？否口是口测试结果.口符合口部分符合口不符合备注测试记录项全部符合即视为符合1-9测试类别等级测评（三级）测试对象安全管理一人员安全管理一人员离岗测试类测应立即终止由于各种原因即将离岗的员工的所有访问权限；试项测试

1.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；要求:

2.应经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开

3.测试记录:访谈安全主管，询问是否及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章

1.等以及机构提供的软硬件设备等？否口是口访谈人事工作人员，询问调离手续包括哪些？

2.是否要求调离人员承诺相关保密义务后方可离开？否口是口检查人员离岗的管理文档，查看是否规定了调离手续和离岗要求等？

3.否口是口检查是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的登记记录？

4.否口是口检查保密承诺文档，查看是否有调离人员的签字？

5.否口是口测试结果:口符合□部分符合□不符合备注:测试记录项全部符合即视为符合1-5等级测评（三级）测试类别测试对象安全管理测试类人员安全管理测试项人员考核测试要求.应对所有人员进行全面、严格的安全审查；

1.应定期对各个岗位的人员进行安全技能及安全认知的考核;

2.应对考核结果进行记录并保存；

3.应对违背安全策略和规定的人员进行惩戒

4.测试记录是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核

1.否口是口对各个岗位人员的考核情况

2.考核周期多长？____________________________________O考核内容有哪些？___________________________________O对人员的安全审查情况审查人员是否包含所有岗位人员？O否口是口审查内容有哪些（如操作行为、社会关系、社交活动等）？审查内容是否全面？O否口是口对违背安全策略和规定的人员有哪些惩戒措施？

3.考核记录考核人员是否包括各个岗位的人员？

4.否口是口考核内容是否包含安全知识、安全技能等？否口是口查看记录日期与考核周期是否一致？否口是口测试结果「口符合口部分符合口不符合备注、如果测试记录被访谈人员表述审查内容包含社会关系、社交活动、操作行为等各个方面,则该项12为肯定；、如果测试记录被访谈人员表述与文件描述一致，则该项为肯定；

23、测试记录项全部符合即视为符合°31-4测试类别等级测评（三级）测试对象安全管理测试类人员安全管理测试项安全意识教育与培训测试要求应对各类人员进行安全意识教育；

1.应告知人员相关的安全责任和惩戒措施；

2.应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训;

3.应针对不同岗位制定不同培训计划；

4.应对安全教育和培训的情况和结果进行记录并归档保存

5.测试记录.是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训？否口

1.是口以什么形式进行？_________________________________________________O效果如何？_______________________________________________O访谈安全员、系统管理员、网络管理员和数据库管理员，询问其对工作相关的信息安全基础知

2.识、安全责任和惩戒措施等的理解程度,其表述是否能够清楚且与文件描述一致？否口是口检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划？否口

3.是口计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等？O否口是口培训内容是否包含信息安全基础知识、岗位操作规程等；否口是口是否具有安全教育和培训记录？

4.否□是口记录是否有培训人员、培训内容、培训结果等的描述？否口是口记录与培训计划是否一致？否口是口测试结果□符合口部分符合口不符合备注、如果测试记录中访谈人员能够表述清楚询问内容，且安全职责、惩戒措施和岗位操作规程表述与12文件描述一致，则该项为肯定；、测试记录『项全部符合即视为符合23测试类别等级测评（三级）测试对象安全管理测试类人员安全管理测试项第三方人员访问管理测试要求第三方人员应在访问前与机构签署安全责任合同书或保密协议；

1.对重要区域的访问，须提出书面申请，批准后由专人全程陪同或监督，并记录备案；

2.对第三方人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规

3.定执行测试记录」对第三方人员（如向系统提供服务的系统软、硬件维护人员，业务合作伙伴、评估人员等）的

1.访问采取哪些管理措施？是否要求第三方人员访问前与机构签署安全责任合同书或保密协议？否口是口对第三方人员访问重要区域（如访问主机房、重要服务器或设备、保密文档等）采取哪些措施？

2.是否经有关负责人书面批准？否口是否由专人全程陪同或监督？否口安全责任合同书或保密协议是否有保密范围、保密责任、违约责任、协议的有效期限和

3.是否进行记录并备案管理？否口O责任人的签字等否口是口第三方人员访问管理文档是否明确下列内容

4.第三方人员包括哪些人员否口是口允许第三方人员访问的范围（区域、系统、设备、信息等内容）否口是口O第三方人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入）O否口是口第三方人员进入的访问控制（由专人全程陪同或监督等）否口是口O第三方人员的离开条件等否口是口第三方人员访问重要区域批准文档是否有第三方人员访问重要区域的书面申请？

5.否口是口否有批准人允许访问的批准签字等？O否口是口第三方人员访问重要区域的登记记录是否描述了第三方人员访问重要区域的进入时间、

6.离开时间、访问区域、访问设备或信息及陪同人等信息？否口是口测试结果.口符合口部分符合口不符合备注测试记录项全部符合即视为符合1-6。