信息系统安全等级测评报告模版

文档编制序号：[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]信息系统安全等级测评报告模版信息系统安全等级测评报告模版系统名称：被测单位：测评单位：报告时间：年月日信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人(签名)编制日期审核人(签名)审核日期批准人(签名)批准日期注：单位代码由受理测评机构备案的公安机关给出。声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作，测评机构可在以下建议内容的基础上增加特殊声明。）本报告是xxx信息系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。目录报告摘要信息系统等级测评基本信息表TOC\o"1-3"\h\z\u报告摘要（建议不超过800字）简要描述被测信息系统的名称、安全等级、承载的业务等基本情况。简要描述测评范围和主要内容。简要描述测评指标的符合性情况，给出测评结论（包括符合、基本符合和不符合）。简要描述测评中发现的主要问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 和危害，并提出安全建设整改建议。测评项目概述测评目的测评依据列出开展测评活动所依据的文件、 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和合同等。测评过程描述等级测评工作流程，包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。报告分发范围说明等级测评报告正本的份数与分发范围。被测信息系统情况参照备案信息简要描述信息系统。承载的业务情况描述信息系统承载的业务、应用等情况。网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。系统构成业务应用软件以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。序号软件名称主要功能重要程度依据《信息系统安全等级测评过程指南》判定…………关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别所属业务应用主机/存储设备重要程度…………主机/存储设备以列表形式给出被测信息系统中的主机设备，描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称操作系统/数据库管理系统业务应用软件………网络互联设备以列表形式给出被测信息系统中的网络互联设备。序号设备名称用途重要程度…………安全设备以列表形式给出被测信息系统中的安全设备。序号设备名称用途重要程度…………安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括（但不限于）安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号姓名岗位/角色联系方式…………安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、记录类文档和其他文档。序号文档名称主要内容………安全环境描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表并赋值。威胁赋值是基于历史统计或者行业判断进行的，具体内容可参考《风险评估 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 》。序号威胁分(子)类描述威胁赋值…………前次测评情况简要描述前次等级测评发现的主要问题和测评结论。等级测评范围与 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 测评指标测评指标包括基本指标和特殊指标两部分。基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择《基本要求》中对应级别的安全要求作为等级测评的基本指标。鉴于信息系统的复杂性和特殊性（如某些信息系统未部署数据库服务器），基本指标中可能存在部分不适用项，可以在单元测评时进行识别。安全分类安全分类对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。安全子类安全子类是对安全分类的进一步细化，在《基本要求》目录级别中对应安全分类的下一级目录。测评项数备注………特殊指标结合行业和系统的实际，以列表形式给出《基本要求》未覆盖或者高于《基本要求》的安全要求。安全分类安全子类特殊要求描述测评项数………测评对象测评对象选择方法描述测评对象的选择规则和方法。测评对象选择结果机房序号机房名称物理位置业务应用软件序号软件名称主要功能………主机（存储）操作系统序号设备名称操作系统/数据库管理系统………数据库管理系统序号设备名称操作系统/数据库管理系统………网络互联设备操作系统序号操作系统名称设备名称………安全设备操作系统序号操作系统名称设备名称………访谈人员序号姓名岗位/职责………安全管理文档序号文档名称主要内容………测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。单元测评等级测评内容包括“3.1测评指标”中涉及的物理安全、网络安全、主机安全等10个安全分类，具体内容由结果记录、问题分析和结果汇总等三部分构成。物理安全结果记录以表格形式给出物理安全的现场测评结果。安全子类测评指标结果记录符合情况物理位置的选择………………物理访问控制…………………结果汇总针对不同测评指标子类对物理安全的单项测评结果进行汇总和统计。问题分析针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析，形成安全问题描述。网络安全结果记录结果汇总问题分析主机安全结果记录结果汇总问题分析应用安全结果记录结果汇总问题分析数据安全及备份恢复结果记录结果汇总问题分析安全管理制度结果记录结果汇总问题分析安全管理机构结果记录结果汇总问题分析人员安全管理结果记录结果汇总问题分析系统建设管理结果记录结果汇总问题分析系统运维管理结果记录结果汇总问题分析整体测评从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价。具体内容参见《信息安全技术信息系统安全等级保护测评要求》。安全控制间安全测评层面间安全测评区域间安全测评系统结构安全测评测评结果汇总一是以表格形式汇总测评结果。表格以不同颜色对测评结果进行区分，部分符合的安全子类采用黄色标识，不符合的安全子类采用红色标识。序号安全分类安全子类符合情况符合部分符合不符合1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护………………统计721二是以柱状图形式统计不同设备和安全子类的测评结果。三是以表格形式汇总信息系统中存在的安全问题。风险分析和评价依据等级保护的相关规范和标准，采用风险分析的方法分析信息系统等级测评结果中存在的安全问题（等级测评结果中部分符合项或不符合项的汇总结果）可能对信息系统安全造成的影响。分析过程包括：1）判断安全问题被威胁利用的可能性，可能性的取值范围为高、中和低；2）判断安全问题被威胁利用后，对信息系统安全（业务信息安全和系统服务安全）造成的影响程度，影响程度取值范围为高、中和低；3）综合1）和2）的结果对信息系统面临的安全风险进行赋值，风险值的取值范围为高、中和低；4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。以列表形式给出等级测评发现安全问题以及风险分析和评价情况。系统安全问题风险分析和评价表序号问题描述关联资产如风险值和评价相同，可填写多个关联资产。关联威胁对于多个关联的情况，应分别填写。风险值风险评价一二三…等级测评结论综合第5、6、7章的测评与分析结果，对信息系统基本安全保护状态进行综合判断，并给出等级测评结论，应表述为“符合、“基本符合”或者“不符合”。测评结论的判别依据如下：测评结论判别依据符合等级测评结果中不存在部分符合项或不符合项基本符合等级测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险不符合等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险安全建设整改建议针对系统存在的主要安全问题提出安全建设整改建议。说明：一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组，第一组为公安机关颁发的备案证明（或备案回执）证书编号的前11位，第二组为年份（2位），第三组为测评机构代码，第四组为测评次数。