测评对象是等级测评的直接工作对象，也是在被测系统中实现特定测评指标所对应的安全功能的具体系统组件，因此，选择测评对象是编制测评方案的必要步骤，也是整个测评工

作的重要环节。恰当选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。

测评对象的确定一般采用抽查的方法，即：抽查信息系统测评中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。

在确定测评对象时，需遵循以下原则：

1． 恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求；

2． 重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等；

3． 安全性，应抽查对外暴露的网络边界；

4． 共享性，应抽查共享设备和数据交换平台/设备；

5． 代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。

信息系统测评评测共有四级确定方法说明，本文介绍其中的第三级信息系统，更多内容您可点击下方信创致远官网链接查看，信创致远http://www.dengbao110.com/。

（二）第二级信息系统

第二级信息系统测评，测评对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面：

1． 主机房（包括其环境、设备和设施等），如果某一辅机房中放置了服务于整个信息系统或对信息系统的安全性起决定作用的设备、设施，那么也应该作为测评对象；

2． 存储被测系统重要数据的介质的存放环境；

3． 整个系统的网络拓扑结构；

4． 安全设备，包括防火墙、入侵检测设备、防病毒网关等；

5． 边界网络设备（可能会包含安全设备），包括路由器、防火墙和认证网关等；

6． 对整个信息系统或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等；

7． 承载被测系统核心或重要业务、数据的服务器（包括其操作系统和数据库）；

8． 重要管理终端；

9． 能够代表被测系统主要使命的业务应用系统；

10． 信息安全主管人员、各方面的负责人员；

11． 涉及到信息系统安全的所有管理制度和记录。

在本级信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。