测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工

作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。

测评对象的确定一般采用抽查的方法，即：抽查第三级信息系统中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。

在确定测评对象时，需遵循以下原则：

1． 恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求；

2． 重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等；

3． 安全性，应抽查对外暴露的网络边界；

4． 共享性，应抽查共享设备和数据交换平台/设备；

5． 代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。

信息系统评测共有四级确定方法说明，本文介绍其中的第三级信息系统，更多内容您可点击下方信创致远官网链接查看，信创致远http://www.dengbao110.com/。

（二）第三级信息系统

第三级信息系统的等级测评，测评对象种类上基本覆盖、数量进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1． 主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；

2． 存储被测系统重要数据的介质的存放环境；

3． 办公场地；

4． 整个系统的网络拓扑结构；

5． 安全设备，包括防火墙、入侵检测设备和防病毒网关等；

6． 边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

7． 对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

8． 承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

9． 管理终端和主要业务应用系统终端；

10． 能够完成被测系统不同业务使命的业务应用系统；

11． 业务备份系统；

12． 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

13． 涉及到信息系统安全的所有管理制度和记录。

在本级信息系统测评时，第四级信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。