網絡安全等級保護測評服務規范范圍本文件規定了提供網絡安全等級測評服務的測評服務要求和測評服務流程。本文件適用于網絡安全等級保護測評機構（以下簡稱“測評機構”）開展網絡安全保護等級保護測評服務工作。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T1.1—2020標準化工作導則第1部分：標準化文件的結構和起草規則GB/T28448—2019信息安全技術網絡安全等級保護測評要求GB/T28449—2018信息安全技術網絡安全等級保護測評過程指南GB/T36959—2018信息安全技術網絡安全等級保護測評機構能力要求和評估規范術語和定義GB/T28448—2019和GB/T36959—2018界定的以及下列術語定義適用于本文件。等級測評testingandevaluationforclassifiedcybersecurityprotection測評機構依據國家網絡安全保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密的網絡安全等級保護狀況進行檢測評估的活動。基本要求機構在安徽省提供網絡安全等級保護測評服務者，應具有經公安部第三研究所（國家認證許可委員會批準的認證機構）認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》。測評機構證書應在有效期內，未出現認證證書暫停、撤銷或測評機構在整改期等情況；測評機構的能力應符合GB/T36959規定的測評機構能力要求,并通過測評機構能力評估；測評機構法定代表人、股東（若有）、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無犯罪記錄；測評機構同一法人具有多個辦公地址且分別獨立提供測評服務的機構，應使用同一個認證證書；測評機構應具有網絡安全等級測評師（以下簡稱“測評師”）不少于15人（高級測評師不少于1人，中級測評師不少于5人），專職滲透測試人員不少于2人；測評機構不應從事對等級測評相關工作的公正性產生影響的業務，包括從事信息系統安全集成或網絡安全產品研發（自用除外）、生產、銷售等；不應限定被測評單位購買、使用指定的網絡安全產品；測評機構法定代表人、股東（若有）、主要負責人、測評相關人員不應投資或任職于信息系統安全集成或網絡安全產品研發、生產、銷售企業。人員測評機構從事等級測評工作的專業技術人員（以下簡稱測評人員）應需持證上崗，測評師上崗前，測評機構應組織崗前培訓；培訓合格的，由測評機構配發上崗證，上崗證發放情況應于發放后5個工作日報省級網安部門；等級測評師的能力要求應符合GB/T36959附錄B規定的要求,擔任等級測評工作中不同崗位的測評人員應分別取得初、中、高級等級測評師證書；測評師每年測評業務和技術培訓時長累計不少于40學時；測評機構應對測評師開展等級測評業務情況進行考核，并留存相關記錄；測評師實行年度注冊管理，測評機構應將本機構測評師情況報省級網安部門注冊并進行年審，測評機構不應采取掛靠或者聘用兼職測評師開展測評業務。測評師離職前，測評機構應與其簽訂離職保密承諾書并收回上崗證，測評師發生變更的，測評機構應在變更后10個工作日內在公安部“網絡安全等級保護測評項目登記管理系統”（以下簡稱“項目登記管理系統”）中登記，并提交相應的變更材料；測評機構應監督測評師妥善保管測評師證書、上崗證，不應涂改、出借、出租和轉讓；測評機構應對測評人員進行監督管理，定期組織開展安全保密教育培訓，簽訂安全保密責任書，規定其應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。工具和場地測評機構應具有固定的辦公場所，注冊地址、辦公場所變更應在變更后10個工作日內向服務認證中心和省級網安部門登記；測評機構應配備滿足測評業務需要的檢測評估工具，應在開展測評工作前保證工具的特征庫已升級至最新；測評機構應具備符合相關要求的機房以及必要的軟、硬件設備，應能針對新技術新應用進行實驗部署，以滿足網絡仿真、技術培訓和模擬測試的需要；測評機構應對測評數據、以及對測評數據進行處理的設備進行管理，并保證測評數據記錄的完整性、可控性。管理制度測評機構應建立符合等級測評工作需要的網絡安全管理體系；測評機構應依據GB/T28449制定測評項目管理程序；測評機構應建立設備管理制度；測評機構應建立文檔管理制度，保證與等級測評有關的所有工作程序、指導書、標準規范、工作表格、核查記錄表等現行有效并便于測評人員獲得；測評機構應建立人員管理制度，規定測評人員的能力要求和職責；測評機構應建立培訓教育制度，保證測評師接收測評業務和技術培訓，并保存培訓和考核記錄；測評機構應建立安全保密管理制度，定期對工作人員進行保密教育；測評機構應建立質量管理體系，跟蹤政策法規和技術標準，對測評活動進行質量監督。檔案管理測評報告應統一加蓋測評機構能力合格專用標識以及防偽標志，并登記歸檔；測評機構應保存應保存最近兩年的紙質檔案，測評過程中的紙質文檔包括測評報告、測評方案、授權文檔、蓋章原件、原始記錄簽字確認記錄；測評機構在測評過程中輸出的文檔包括但不限于項目計劃書、信息系統調查表、等級保護測評方案及測評方案評審記錄、測評風險規避實施方案及測評風險告知書、現場測評授權記錄、測評啟動會議記錄、現場測評首次、末次會議記錄、測評過程記錄(包括原始記錄、截圖(若有)、照片(若有)、差旅等可以追溯整個測評過程證明材料)、漏洞掃描原始記錄、滲透測試原始記錄、各類測評結果確認記錄、漏洞掃描確認記錄、滲透測試確認記錄、等級保護測評報告及等級保護測評報告評審記錄等。流程圖1測評服務基本工作流程測評服務要求溝通接洽測評機構應指定專人保持與被測評單位的溝通接洽，收集被測定級對象基本資料；測評機構不應限定被測評單位購買、使用指定的網絡安全產品。簽訂合同測評機構應與被測評單位直接簽署等級保護測評合同（協議），明確測評服務內容，對測評雙方在測評過程中的基本問題達成共識；測評機構不應分包、轉包、代理測評項目；測評合同應包括：被測評系統的單價、合同總價、合同簽署時間、合同簽署責任主體的全稱和公章等要素；測評機構應對等級保護測評合同進行編號和存檔。測評準備人員準備測評機構應根據測評雙方簽訂的測評委托書和系統規模，測評機構組建等級測評項目組，獲取測評委托單位及定級對象的基本情況，并編制項目計劃書，項目計劃書內容需被測單位確認；測評組長應由中級測評師以上擔任，對第三級以上等級保護對象提供等級測評服務的，測評師人數不得少于4名，其中高級測評師、中級測評師應各不少于1名；測評組長應到現場參與測評，測評組長應具備中級及以上測評師證書，測評師應具備初級及以上測評師證書。現場調研測評機構應依據GB/T28449要求收集等級測評需要的相關材料；測評機構應配合被測評單位完成系統調查表格，必要時可進行現場調研；調查內容應覆蓋目標系統各方面信息用于支撐等級測評后續，包括但不限于以下內容：單位基本情況：單位全稱、簡稱、單位情況簡介、單位所屬類型、單位地址、郵政編碼、負責人姓名、聯系人、聯系人電話、電子郵件地址、上級主管部門；等級保護對象基本情況：定級對象名稱、安全保護等級、業務信息安全保護等級（S）、系統服務安全保護等級（A）、功能描述、備案證明編號；機房：機房名稱、物理位置、重要程度；網絡拓撲圖及網絡描述：相關要求參見方案類中的內容；網絡結構情況：網絡區域名稱、區域功能描述、IP網段地址、服務器數量、終端數量（管理）、與其連接的其它網絡區域、網絡區域邊界設備、重要程度、責任部門；網絡外聯情況：外聯線路名稱、所屬網絡區域、連接對象名稱、接入線路種類、傳輸速率（帶寬）、線路接入設備、承載主要業務應用、備注；網絡互聯設備基本情況：設備名稱、用途、網絡區域、物理區域、品牌型號、系統及版本、IP地址、數量（臺/套）、重要程度、是否熱備、是否虛擬設備；安全設備基本情況：設備名稱、用途、網絡區域、物理區域、品牌型號、系統及版本、IP地址、數量（臺/套）、重要程度、是否熱備、是否虛擬設備；業務應用基本情況：業務應用系統/平臺名稱、所屬定級系統、業務應用軟件及版本、主要功能、應用模式（B/S或C/S）、硬件/軟件平臺、自行開發/外包開發、開發商、用戶類別及數量、重要程度；主要業務數據流程：從不同類型業務用戶視角出發，給出關鍵業務處理流程圖，并標注涉及應用組件/模塊、主要處理動作，以及關鍵業務數據在主機設備（程序模塊）之間的交換情況；服務器基本情況：所屬業務系統/平臺名稱、設備名稱、物理/邏輯區域、操作系統及版本、數據庫管理系統及版本、中間件及版本、數量（臺/套）、IP地址、重要程度、是否熱備、是否虛擬設備；終端基本情況：設備名稱、物理/邏輯區域、操作系統/控制軟件及版本、用途、數量（臺/套）、IP地址、重要程度、是否虛擬設備；系統管理軟件/平臺：系統管理軟件/平臺名稱、所在設備名稱、版本、主要功能、重要程度；數據資源：數據類別、所屬業務應用、安全防護需求、重要程度、備份方式、備份頻率、備份介質；密碼產品：產品/模塊名稱、生產廠商、商密型號/商密產品認證證書編號、密碼算法、用途、重要程度；安全相關人員：姓名、崗位/角色、聯系方式、所屬單位；安全管理文檔基本情況：文檔名稱、主要內容；安全服務：安全服務名稱、安全服務商；安全威脅情況：安全事件調查、調查結果。適用時，對云計算、物聯網、移動互聯、工控、大數據等新技術新應用的資產開展有針對性的調查，包括但不限于以下內容：云計算環境：云計算形態、服務模式、云服務能力、虛擬化情況等；物聯網：終端感知節點設備，如傳感器、RFID標簽、網絡控制開關等；工業控制系統：操作員站等監控設備，以及DCS、PLC、RTU等現場控制設備；移動互聯系統：專用移動終端、移動應用APP、無線接入網關等；大數據平臺：臺服組件、輔助工具、資源管理平臺和大數據應用。表單準備測評機構應準備如下材料：獨立、公正、誠信聲明；測評人員保密協議；選用的測評工具清單；風險告知書；文檔交接單；測評方案；測評方案評審記錄；啟動會議記錄表；會議簽到表；現場測試授權書；工具測試（漏洞掃描、滲透測試）授權書；工具測試特殊事項說明：非互聯網服務的等級保護對象，限于正式的管理要求（如主管部門文件、行業標準等），無法開展漏洞掃描和滲透測試，也不具備模擬/仿真環境的情況下，應由測評委托單位正式聲明放棄驗證測試（漏洞掃描和滲透測試）；小結會議記錄表；現場測評過程及用戶確認表。工具準備測評人員應調試測評服務中將用到的測評工具，包括如下：漏洞掃描工具；滲透測試工具；性能測評工具；協議分析工具；測評自動化工具和綜合管理平臺。方案編制方案編制活動，需正確合理地確定測評對象、測評指標及測評內容等，并依據現行有效的技術標準、規范開發測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄，測評指導書應進行版本有效性維護。測評對象確定應結合被測定級對象的安全級別和重要程度，確定出技術層面的測評對象，并將與被測定級對象相關的人員及管理文檔確定為測評對象，具體要求如下：測評對象確定需滿足GB/T28449中6.2.1節和附錄D要求。進行測評對象抽樣選擇時，同類設備是指功能、用途、硬件版本、軟件版本、組件完全一致的設備，相同版本操作系統安裝不同軟件、組件不得視為同種設備。測評對象抽樣選擇時，若同類設備數量大于100，則抽取比例不得低于15%，若同類設備數量大于50，則抽取比例不得低于12%，若同類設備數量大于20，則抽取比例不得低于10%。測評指標確定應根據被測定級對象的A類、S類及G類基本安全要求的組合情況選擇測評指標；應依據GB/T22239、行業規范選擇相應等級的安全通用要求作為通用測評指標。應結合《信息系統安全等級保護備案表》中系統類型和被測定級對象實際情況，選擇安全擴展要求作為擴展測評指標。測評委托單位有特殊要求的，根據測評委托單位及被測定級對象業務自身需求，選擇特殊測評指標。不適用測評指標判定需明確不適用原因，不適用原因應能夠充分說明測評指標不存在相關安全風險或針對測評指標采取的風險替代措施。測評內容確定應根據測評對象和測評指標確定現場測評的具體實施內容，即單項測評內容，測評內容確定需滿足GB/T28449中6.2.3節要求。測評內容應明確測評方法、測評對象和測評實施，使配合人員清晰理解配合測評的具體內容。工具測試方法確定應配備專職設備和工具管理員，制定設備和工具臺賬清單，對測評項目中使用的漏洞掃描器、滲透測試工具集、協議分析儀進行維護，測評項目使用的測試工具從臺賬清單中選取；應確保測評設備和工具運行狀態良好,并通過持續更新、升級等手段保證其提供準確的測評數據，規則庫需要確認是最新版本，工具軟件需要確認是穩定可靠版本；工具測試方法確定需滿足GB/T28449中6.2.4節要求。測評指導書開發測評項目組應根據項目實際情況，組織項目組成員編制測評指導書，指導書內容應體現各測評對象的測試內容及方法；應描述單個測評對象，包括測評對象的名稱、IP地址、用途、管理人員等信息。應根據GB/T28448及相關行業規范的單元測評實施確定測評服務，包括測評項、測評方法、操作步驟和預期結果等四部分。單元測評一般以表格形式設計和描述測評項、測評方法、操作步驟和預期結果等內容。整體測評則一般以文字描述的方式表述，以測評用例的方式組織。現場測評工作量估算測評項目組應估算現場測評工作量，工作量根據測評對象的數量和工具測試的接入點及測試內容等情況進行估算。工作量按照人天作為估算單位。現場測評人員安排測評項目組應根據測評內容、測評指導書、工具測試接入點、現場測評工作量選擇參與現場測評的測評師。現場測評計劃制定測評項目組應根據現場測評工作量估算結果、現場測評人員安排，制定詳細的現場測評計劃，明確現場測評分工與配合人員、配合事項、需協調資源；現場測評分工需要包括機房測評、網絡設備測評、安全設備測評、網絡架構測評、安全防護措施測評、集中管控措施測評、服務器測評、數據庫測評、中間件測評、業務應用軟件測評、終端測評、安全管理測評、漏洞掃描測試、滲透性測試等內容，特殊行業系統根據系統實際情況調整；現場測評詳細計劃需明確至某日上午/下午。明確需要協調的資源，保證現場測評順利推進。現場測評風險識別及規避措施應充分識別現場測評過程中可能出現的風險，并采取相應的規避措施或控制措施，避免或減少現場測評對信息系統運行的影響。測評方案評審與認可測評方案應通過技術評審，形成方案評審記錄，并進行版本有效性維護。測評方案初稿應通過測評項目組全體成員評審,修改完成后形成提交稿，由中、高級測評師簽字確認。應將測評方案提交給測評委托單位簽字認可。測評實施現場測評活動通過與測評委托單位進行溝通和協調，為現場評測的順利開展打下良好基礎，依據測評方案實施現場測評工作，故將測評方案和測評方法等內容具體落實到現場測評活動中，現場測評工作應取得報告編制活動所需的、足夠的證據和資料。現場測評活動的工作包括，入場告知、現場測評準備、現場啟動會、現場測評和結果記錄、結果確認和資料歸還、現場測評小結會等。現場測評首次會測評機構需要在現場測評環境召開首次會，會議內容如下：測評機構介紹現場測評工作安排，雙方對測評計劃和測評方案中的測評內容和方法等進行溝通，委托單位對測評方案認可后，簽字確認。測評雙方確認現場測評需要的各種資源，包括測評委托單位的配合人員和需要提供的測評環境等。測評現場首次會結束后匯總整理會議記錄、會議簽到、測評方案、現場測評工作計劃和風險告知書、現場測評授權書、測評人員保密協議等紙質文件的。現場測評實施現場測評的工作包括訪談、文檔檢查、配置檢查、實地查看、工具測試。配置核查：測評人員應協助指導被測單位技術人員查找配置進行測評，并進行記錄；系統中配置相同的安全設備、邊界網絡設備、服務器、終端等資產，每類應至少抽查兩臺作為測評對象。制度檢查：測評人員應對被測單位相關人員進行訪談，并核實查看相關制度文件及記錄表單；測評人員應協助被測單位理解和落實網絡安全等級保護測評中要求的制度體系建設。工具測試：測評人員應依據操作規程熟練地使用測評設備和工具，規范、準確、完整的填寫測評結果記錄，獲取足夠證據，能夠客觀、真實、科學地反映出被測系統的安全保護狀況；測評人員應遵循測評方案開展驗證測試工作，并完整記錄驗證測評過程；完成后與被測單位匯報測試結果，溝通后續整改工作。測評結果確認在完成現場測評工作后，應由被測單位在《現場測評過程確認表》中對測評過程進行確認，并按照要求歸還測評過程中由被測單位提供的證據資料，在《文檔交接單》中簽字確認；在完成現場測評工作后，應通知被測單位測評完成，并由其確認系統測評或工作正常后，結束現場測評工作。現場測評末次會現場測評工作結束后，測評組長召開測評現場測評末次會，匯報內容包括現場測評的工作內容、下一步工作推進計劃、整改工作優先級、溝通證據源和測評記錄，并就高風險項進行溝通。并通過拍照、會議簽到表的形式留存證據；末次會到場人員應簽署現場測評小結會會議簽到表；測評組長應進行測評過程介紹，對測評過程中發現的問題討論并提出整改建議；應形成末次會會議記錄。整改驗證測評人員在填寫測評結果記錄后，應匯總和分析已有安全措施和主要安全問題，并對所有安全問題提出整改建議，安全問題描述及風險分析應準確，與測評記錄反映的情況一致；整改建議應完整，覆蓋所有安全問題。測評人員應配合被測單位對安全問題進行整改，整改完成后應進行驗證測試；驗證技術和方法應與現場測評實施過程中采取的技術和方法工作保持一致。報告編制報告框架測評報告由測評項目組長作為第一編制人，技術主管或具備高級測評師資質的授權人員負責審核，

機構管理者或其授權人員簽發或批準；測評報告的正文部分應包含網絡安全等級測評基本信息表（表格）、聲明、等級測評結論（表格）、等級測評結論表（云計算安全）（如有）、等級測評結論表（大數據安全）（如有）、總體評價、主要安全問題及整改建議、目錄、正文表格索引、附錄表格索引、插圖索引、測評項目概述、被測對象概述、測評指標、測評對象、單項測評結果分析、整體測評結果分析、安全問題風險分析、等級測評結論、安全問題整改建議。測評報告的附錄部分應包括附錄A被測對象資產、附錄B上次測評問題整改建議、附錄C單項測評結果匯總、附錄D單項測評結果記錄、附錄E漏洞掃描結果記錄、附錄F滲透測試結果記錄、附錄G常見威脅表、附錄H云計算平臺測評及整改情況（如有）、附錄I大數據平臺測評及整改情況（如有）。被測對象如不涉及安全擴展要求，安全擴展要求相關部分可填無，不應刪減報告模板中的章節。報告內容網絡安全等級測評基本信息表測評報告中特定對象名稱（如：單位名稱、系統名稱、備案證明號、系統等級等）應保持前后一致；測評報告具有編制人、審核人、批準人簽字并加蓋機構代碼標識；測評報告由測評項目組長（中級以上測評師）作為第一編制人，技術主管或其授權人（高級測評師）負責審核。等級測評結論測評報告中被測對象名稱、安全保護等級、等級保護對象形態、被測對象描述、測評工作描述、等級測評結論、綜合得分應保持前后一致；安全保護等級、等級保護對象形態應與備案證明和定級報告一致；安全狀況描述中應對發現的安全問題數量和主要安全問題進行概述。等級測評結論擴展表（云計算安全）等級測評結論擴展表應與被測對象所部署在的云平臺等級測評報告等級測評結論擴展表保持一致；每種服務模式單獨構成一個定級系統，對應單獨的等級測評結論擴展表。等級測評結論表（大數據安全）等級測評結論擴展表應與被測對象所部署在的云平臺等級測評報告等級測評結論擴展表保持一致；每種部署模式單獨構成一個定級系統，對應單獨的等級測評結論擴展表。總體評價應按十個安全域分別進行描述；被測對象的安全保護狀況描述應包含說明和評價。主要安全問題及整改建議主要安全問題及整改建議應按十個安全域分別進行描述；主要安全問題及整改建議的內容應與正文中安全問題整改建議表保持一致，涉及多種類型測評對象的同一類安全問題可進行匯總分析。測評項目概述測評目的：應對被測單位、被測對象和測評目的進行描述；測評依據：應包括主要依據、主要參考標準和測評合同。測評過程：應依據GB/T28449規定的測評過程進行測評，各階段時間應與實際測評過程一致，并說明首次會、末次會時間；報告分發范圍：分發范圍至少應包括被測評單位、備案公安機關、測評機構。被測對象概述定級結果：定級結果應與被測對象定級報告一致。業務和采用的技術：應對被測對象主要承載的業務和采用的新應用新技術進行描述；網絡結構：應包含拓撲圖和網絡結果說明，內容應包含被測對象安全區域劃分、隔離和防護情況、關鍵網絡和服務器設備的部署情況和功能簡介，與其他系統的互聯情況和邊界設備、網絡的管理方式和管理工具、本地備份和災備中的情況等，拓撲圖中的IP地址和設備名稱應與測評對象保持一致。測評指標安全通用要求指標：根據被測對象的安全保護等級，選擇《基本要求》中對應級別的安全通用要求作為等級測評的指標；安全擴展要求指標：描述采用移動互聯技術、云計算技術的被測對象，以及物聯網、工業控制系統、大數據等特殊類型的被測對象，選擇《基本要求》中對應級別的安全擴展要求作為等級測評的指標；其他安全要求指標：結合被測評單位要求、被測對象的實際安全需求，以及安全最佳實踐經驗，以列表形式給出《基本要求》未覆蓋或者高于被測對象安全保護等級的安全要求，如行業標準等；不適用安全要求指標：鑒于被測對象的復雜性和特殊性，《基本要求》中的某些要求項可能不適用于所有測評對象，對于這些不適用項應給出不適用原因。如果單個要求項不適用某個測評對象，應在該測評對象的測評結果記錄中說明不適用原因。測評對象測評對象選擇方法：依據GB/T28449—2018中測評對象確定原則和方法，結合資產重要程度賦值結果（重要程度賦值為關鍵、重要和一般）；測評對象選擇結果：對于屬于測評對象資產，但未作為測評對象的，應說明未作為測評對象的理由。單項測評結果分析應按照十個安全方面分別進行描述；驗證測試：驗證測試包括漏洞掃描匯總表、漏洞掃描問題描述、滲透測試過程說明、滲透測試問題描述等，驗證測試發現的安全問題對應到相應的測評項的結果記錄中；單項測評小結：包括控制點符合情況匯總和安全問題匯總，安全問題匯總中應包括驗證測試發現的安全問題。整體測評結果分析安全控制點間安全測評：依據GB/T28448的要求從安全控制點間對單項測評結果進行驗證、分析和整體評價；區域間/層面間安全測評：依據GB/T28448的要求從區域間/層面間對單項測評結果進行驗證、分析和整體評價；整體測評結果匯總：包括根據整體測評結果匯總統計修正后的安全問題，問題修正說明和匯總表應保持一致。安全問題風險分析應列出風險等級分析和修正后的安全問題；應包括對漏洞掃描和滲透測試發現的安全問題的風險分析；對多個威脅關聯同一個問題的情況，應分別填寫。等級測評結論等級測評結論應與等級測評結論表一致；應描述被測對象是否進行漏洞掃描和滲透測試。安全問題整改建議安全問題整改建議應與安全問題風險分析一致；應包括對漏洞掃描和滲透測試發現的安全問題的整改建議。附錄A被測對象資產應依據GB/T28449附錄D“測評對象確定準則和樣例”選擇測評對象及抽樣數量；應依據抽樣原則抽選熱備設備；應結合測評對象的實際數量選取抽樣結果，抽樣數量應達到抽樣要求；應從等級保護對象的角度，評價資產在等級保護對象的保密性、完整性、可用性方面發揮的作用，確定資產的重要程度；位于主要業務流路徑上的網絡設備、安全設備、操作系統、數據庫、中間件、應用系統等設備及軟件的重要程度應為最高等級；如因等級保護對象情況特殊，主要業務流路徑上的設備及軟件的重要程度達不到最高等級，應說明理由。附錄B上次測評問題整改建議上次測評問題應與上次測評報告（如有）中發現的安全問題保持一致；應描述上次測評問題在本次測評中的整改情況。附錄C單項測評結果匯總測評項符合情況應與附錄D中保持一致；附錄D單項測評結果記錄測評記錄中應明確記錄測評方法和證據來源，記錄必要的對象特征和細節描述，應提供充分的符合性判定依據。測評記錄建議采用三段式描述：測評方法+測評實施對象+結果描述；測評記錄應完全覆蓋測評項，根據測評方法、測評對象、結果描述，判定符合性情況；測評記錄間不應存在相互矛盾的情況；不適用項的描述應包括：被測評系統的情況說明、不適用的