对2级信息系统和3级信息系统并存情况下等保测评有些疑问，请各位高手指教
一个单位既有2级信息系统也有3级信息系统，在现场测评时，对2级和3级信息系统共用的物理安全和网络安全应该如何检测，是统一用3级标准检测还是2级和3级信息系统分别用各自的标准检测，在最后出报告时，2级信息系统各个层面以2级标准作符合性分析，还是共用层面换做以3级标准作符合性分析了，特别是2级信息系统网络有2级网络和3级网络同时存在情况，这在报告中针对网络安全应该如何分析?

同问。

就高，就高肯定没错的。

等级保护测评是合规性测评，对2级信息系统各个层面符合2级标准就够了，有必要把3级标准附加到2级信息系统的共用层面吗？

对2级和3级信息系统共用层面,比如:物理\网络,一定要按照3级要求进行测评;
由于等级测评报告要按照系统一个一个出,3级系统的报告要含盖全部层面;2级系统的报告有两种处理方法:一,在2级系统测试报告中指明物理\网络部分由于什么什么原因,在某某三级系统测试中测试,结果怎样;二,直接把三级系统报告的相关内容引用近来,注明情况.
在层面间安全分析时针对实际测试发现的机制作符合性分析,对2级系统按照2级要求分析,对了3级系统按照3级要求分析即可.
以上不知道解释清楚没有

貌似等保是针对信息系统测评的吧。。。报告也应该是各信息系统分开出。那这样的话，物理和网络虽然共用，但是可以分开写啊。2级系统按2级的写，三级按三级的写。没必要说二级和三级存在共用关系（要说明也是在三级系统内说明，然后表明应按三级要求来测评）。。
这个实际很好操作的。。。除非你不按规矩来，N个系统写在一起。。。

培训时候已经说了，就高不就低

不光是等级保护，其它任何标准都一样。木桶原理，就高不就低。

如果你对标准理解的话，你可就会明白有些测评并不全是完全按三级进行，在测评三级时，你完全可以按A1A3G3，S2A3G3,S3A2G3等组合进行检测，所以对待共用的，你完全可以按其它等级进行测试。

楼上说法和楼主问题没直接关系，“A1A3G3，S2A3G3,S3A2G3”只不过三级系统根据定级结果不同的组合而已，但是三级和二级共用设备时，应该按照就高要求测评。
基本要求中分S和A类要求，如物理安全中的“电力供应”属于A类的。如果一个三级系统（S3A3G3）和二级系统（S2A2G2）共用机房，考查“电力供应”指标时，按照A3要求测评；如果一个三级系统（S3A1G3）和二级系统（S2A2G2）共用机房，考查“电力供应”指标时，按照A2要求测评。

个人以为：
1、如果2,3级的系统都是在一个物理环境下，那么物理这块肯定是得按照 高级的3级部分要求
2、按照分级分区域的原则，明确各系统的网络区域和网络边界，查看是否存在，网络设备，主机，应用等分部的交叉，如果交叉部分肯定是需要按照 就高不就低的原则，如果没有交叉那么没有交叉的部分肯定按照各自所属的安全等级进行测评
3、管理部分，如果该系统没有特别提及，而且是由同一管理机构统一管理的话，个人以为应该按照就高不就低的原则，按照3级的要求针对管理部分进行要求，但是如果对方有特殊规定的，区分了管理机构，而且互相不隶属的情况………………建议再单独确认
以上仅为个人观点，有不同意见的往大家指正

如果一个三级系统（S3A3G3）和二级系统（S2A2G2）共用机房，考查“电力供应”指标时，按照A2要求测评；怎么是A2？应该是A3吧。

…… 看错了还以为说我呢……

就是 就高不就低啊

赞同，测评本身不能流于形式，按标准分系统编写，共同的地方 就高不就低，能满足三级的标准肯定符合二级的，等保本身就是个合规性检查，如果都在一个机房的话，物理方面 网络方面应该都一样，差别部分应该在主机、应用方面。

而且说实话，严格意义上的一个大的应用系统里面，模块区域划分清楚的话，不同区域间的 保护等级要求 也是 不一样的，所以说，在大的系统里面，2，3级 同时存在 是非常普遍的，问题的关键就是，控制信息流向，只允许 从低级到高级，2，3级公共部分按照3级走，各自单独的部分，分别按照2，3级 的 要求走 就好了，就是 最后总报告的时候，很需要技巧 哈哈