答案要点：等级测评风险主要包括：影响系统正常运行的风险、敏感信息泄露风险、木马植入风险。在等级测评过程中，应采取的规避风险措施包括：签署委托测评协议、签署保密协议、签署现场测评授权书、验证测试避开业务高峰期、测评现场还原等。

4、请结合测评实施工作简述测评人员的行为规范有哪些？[填空题]*

答案解析：

答案要点：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员；涉及到测评委托单位的工作秘密或敏感信息的相关资料，只在指定场所查看，查看完成后立即归还等。

5、请简述大数据等级保护对象如何定级。[填空题]*

答案要点：由于不同运营者单独承担安全责任，从定级对象的责任主体角度出发，大数据资源可独立作为定级对象，也可能与大数据平台或大数据应用组合作为定级对象。大数据资源独立作为定级对象时，承载其数据的载体（如存储、服务器、数据库系统等）也应包含在大数据资源的定级对象范围内。大数据资源若对外提供数据资源服务时，安全防护软硬件也应包含在大数据资源的定级对象范围内。

6、请简要介绍测评方案评审的要点。[填空题]*

答案要点：

测评方案中被测系统和调查对象的实质性内容是否与调查表一致？

测评方案项目基本信息是否全面准确？

测评方案中抽选的被测对象的信息是否全面准确？

测评方案中工具漏洞扫描和渗透测试内容合理、全面？

测评方案关键内容是否准确？

测评方案是否具有业主方签字确认？

7、请简要介绍测评报告评审的要点。[填空题]*

答案解析：

答案要点：

测评报告中被测系统和抽选对象的实质性内容是否与测评方案一致？

测评记录是否详细、准确，支持符合性判断？

原始测评记录是否具有测评师及业主方签字确认？

测评报告中工具漏洞扫描和渗透测试结果全面深入？

安全问题的描述与评判是否准确？

整改建议是否完整、准确、合理？

测评结论是否准确？

测评报告文档内容是规范？

8、（1）什么是安全控制点间，什么是整体测评？分别列举一个安全控制点间安全测评、区域间安全测评的案例。（2）整体测评不仅是降低风险，也存在风险程度升高的可能性，请举例说明。[填空题]*

答案要点：

1）安全控制点间安全测评指对同一区域的两个或者两个以上不同安全控制点间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响；不仅考虑网络区域之间、还包括物理区域之间。

2）开放性，无标准答案。

9、联盟-2022等级保护测评项目质量评价指标体系中，针对不适用项的注意事项包括哪些要求？[填空题]*

答案要点：不适用项的判定原则是：针对每个测评项，如果该测评项所对抗的威胁在被测定级对象中不存在，则该测评项应标为不适用项；

不适用项的描述应包括：被测评系统的情况说明、不适用的原因说明，其中对于不适用的原因说明应经得起推敲；

直接判定不适用而没给出相应说明的，不符合要求。

10、高风险判定的原则包括哪些？[填空题]*

答案要点：

不符合国家、行业主管部门明确规定的情况，应判为高风险。不符合或未实现《基本要求》中各等级、层面核心要求及基本安全功能，且无等效或补偿措施降低风险等级的情况，应判为高风险。通过技术测试发现被测目标存在可被利用，并可能造成严重后果的情况，应判为高风险。通过综合分析，对被测系统可能产生重大安全隐患的，应判为高风险。

11、请简述等级测评风险规避措施。[填空题]*

答案要点：

1)签署委托测评协议；

在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识。