还剩20页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
报告编号(XXXX-XX-XXXX-XX)信息系统安全等级测评报告模版系统名称被测单位测评单位报告时间年月日信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址____联系人姓名职务/职称所属部门办公__________测评单位单位名称单位代码通信地址____联系人姓名职务/职称所属部门办公__________审核批准编制人签名编制日期审核人签名审核日期批准人签名批准日期注单位代码由受理测评机构备案的公安机关给出声明(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明)本报告是xxx信息系统的等级测评报告本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上本报告中给出的测评结论仅对被测信息系统当时的安全状态有效当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实目录报告摘要信息系统等级测评基本信息表TOC\o1-3\h\z\u信息系统等级测评基本信息表1报告摘要I1测评项目概述
11.1测评目的
11.2测评依据
11.3测评过程
11.4报告分发范围12被测信息系统情况
22.1承载的业务情况
22.2网络结构
22.3系统构成
22.
3.1业务应用软件
22.
3.2关键数据类别
22.
3.3主机/存储设备
32.
3.4网络互联设备
32.
3.5安全设备
32.
3.6安全相关人员
32.
3.7安全管理文档
42.4安全环境
42.5前次测评情况43等级测评范围与方法
43.1测评指标
43.
1.1基本指标
53.
1.2特殊指标
53.2测评对象
53.
2.1测评对象选择方法
53.
2.2测评对象选择结果
53.3测评方法74单元测评
84.1物理安全
84.
1.1结果记录
84.
1.2结果汇总
84.
1.3问题分析
84.2网络安全
94.
2.1结果记录
94.
2.2结果汇总
94.
2.3问题分析
94.3主机安全
94.
3.1结果记录
94.
3.2结果汇总
94.
3.3问题分析
94.4应用安全
94.
4.1结果记录
94.
4.2结果汇总
94.
4.3问题分析
94.5数据安全及备份恢复
94.
5.1结果记录
94.
5.2结果汇总
94.
5.3问题分析
94.6安全管理制度
94.
6.1结果记录
94.
6.2结果汇总
94.
6.3问题分析
94.7安全管理机构
94.
7.1结果记录
94.
7.2结果汇总
94.
7.3问题分析
94.8人员安全管理
104.
8.1结果记录
104.
8.2结果汇总
104.
8.3问题分析
104.9系统建设管理
104.
9.1结果记录
104.
9.2结果汇总
104.
9.3问题分析
104.10系统运维管理
104.
10.1结果记录
104.
10.2结果汇总
104.
10.3问题分析105整体测评
115.1安全控制间安全测评
115.2层面间安全测评
115.3区域间安全测评
115.4系统结构安全测评116测评结果汇总127风险分析和评价138等级测评结论149安全建设整改建议151报告摘要(建议不超过800字)简要描述被测信息系统的名称、安全等级、承载的业务等基本情况简要描述测评范围和主要内容简要描述测评指标的符合性情况,给出测评结论(包括符合、基本符合和不符合)简要描述测评中发现的主要问题和危害,并提出安全建设整改建议2测评项目概述
2.1测评目的
2.2测评依据列出开展测评活动所依据的文件、标准和合同等
2.3测评过程描述等级测评工作流程,包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容
2.4报告分发范围说明等级测评报告正本的份数与分发范围3被测信息系统情况参照备案信息简要描述信息系统
3.1承载的业务情况描述信息系统承载的业务、应用等情况
3.2网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况
3.3系统构成
3.
3.1业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介序号软件名称主要功能重要程度
[1]…………
3.
3.2关键数据类别以列表形式描述具有相近业务属性和安全需求的数据__序号数据类别所属业务应用主机/存储设备重要程度…………
3.
3.3主机/存储设备以列表形式给出被测信息系统中的主机设备,描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统序号设备名称操作系统/数据库管理系统业务应用软件………
3.
3.4网络互联设备以列表形式给出被测信息系统中的网络互联设备序号设备名称用途重要程度…………
3.
3.5安全设备以列表形式给出被测信息系统中的安全设备序号设备名称用途重要程度…………
3.
3.6安全相关人员以列表形式给出与被测信息系统安全相关的人员情况相关人员包括(但不限于)安全主管、系统建设负责人、系统运维负责人、网络(安全)___、主机(安全)___、数据库(安全)___、应用(安全)___、机房管理人员、资产___、业务操作员、安全审计人员等序号姓名岗位/角色__方式…………
3.
3.7安全管理文档以列表形式给出与信息系统安全相关的文档,包括管理类文档、记录类文档和其他文档序号文档名称主要内容………
3.4安全环境描述被测信息系统的运行环境中与安全相关的部分,并以列表形式给出被测信息系统的威胁列表并赋值威胁赋值是基于历史统计或者行业判断进行的,具体内容可参考《风险评估规范》序号威胁分子类描述威胁赋值…………
3.5前次测评情况简要描述前次等级测评发现的主要问题和测评结论4等级测评范围与方法
4.1测评指标测评指标包括基本指标和特殊指标两部分
4.
1.1基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择《基本要求》中对应级别的安全要求作为等级测评的基本指标鉴于信息系统的复杂性和特殊性(如某些信息系统未部署数据库服务器),基本指标中可能存在部分不适用项,可以在单元测评时进行识别安全分类
[2]安全子类
[3]测评项数备注………
4.
1.2特殊指标结合行业和系统的实际,以列表形式给出《基本要求》未覆盖或者高于《基本要求》的安全要求安全分类安全子类特殊要求描述测评项数………
4.2测评对象
4.
2.1测评对象选择方法描述测评对象的选择规则和方法
4.
2.2测评对象选择结果1机房序号机房名称物理位置2业务应用软件序号软件名称主要功能………3主机(存储)操作系统序号设备名称操作系统/数据库管理系统………4数据库管理系统序号设备名称操作系统/数据库管理系统………5网络互联设备操作系统序号操作系统名称设备名称………6安全设备操作系统序号操作系统名称设备名称………7访谈人员序号姓名岗位/职责………8安全管理文档序号文档名称主要内容………
4.3测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法5单元测评等级测评内容包括“
3.1测评指标”中涉及的物理安全、网络安全、主机安全等10个安全分类,具体内容由结果记录、问题分析和结果汇总等三部分构成
5.1物理安全
5.
1.1结果记录以表格形式给出物理安全的现场测评结果安全子类测评指标结果记录符合情况物理位置的选择………………物理访问控制…………………
5.
1.2结果汇总针对不同测评指标子类对物理安全的单项测评结果进行汇总和统计
5.
1.3问题分析针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析,形成安全问题描述
5.2网络安全
5.
2.1结果记录
5.
2.2结果汇总
5.
2.3问题分析
5.3主机安全
5.
3.1结果记录
5.
3.2结果汇总
5.
3.3问题分析
5.4应用安全
5.
4.1结果记录
5.
4.2结果汇总
5.
4.3问题分析
5.5数据安全及备份恢复
5.
5.1结果记录
5.
5.2结果汇总
5.
5.3问题分析
5.6安全管理制度
5.
6.1结果记录
5.
6.2结果汇总
5.
6.3问题分析
5.7安全管理机构
5.
7.1结果记录
5.
7.2结果汇总
5.
7.3问题分析
5.8人员安全管理
5.
8.1结果记录
5.
8.2结果汇总
5.
8.3问题分析
5.9系统建设管理
5.
9.1结果记录
5.
9.2结果汇总
5.
9.3问题分析
5.10系统运维管理
5.
10.1结果记录
5.
10.2结果汇总
5.
10.3问题分析6整体测评从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价具体内容参见《信息安全技术信息系统安全等级保护测评要求》
6.1安全控制间安全测评
6.2层面间安全测评
6.3区域间安全测评
6.4系统结构安全测评7测评结果汇总一是以表格形式汇总测评结果表格以不同颜色对测评结果进行区分,部分符合的安全子类采用黄色标识,不符合的安全子类采用红色标识序号安全分类安全子类符合情况符合部分符合不符合1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护………………统计721二是以柱状图形式统计不同设备和安全子类的测评结果三是以表格形式汇总信息系统中存在的安全问题8风险分析和评价依据等级保护的相关规范和标准,采用风险分析的方法分析信息系统等级测评结果中存在的安全问题(等级测评结果中部分符合项或不符合项的汇总结果)可能对信息系统安全造成的影响分析过程包括1)判断安全问题被威胁利用的可能性,可能性的取值范围为高、中和低;2)判断安全问题被威胁利用后,对信息系统安全(业务信息安全和系统服务安全)造成的影响程度,影响程度取值范围为高、中和低;3)综合1)和2)的结果对信息系统面临的安全风险进行赋值,风险值的取值范围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对____、社会秩序、公共利益以及公民、法人和其他__的合法权益造成的风险以列表形式给出等级测评发现安全问题以及风险分析和评价情况系统安全问题风险分析和评价表序号问题描述关联资产
[4]关联威胁
[5]风险值风险评价一二三…9等级测评结论综合第
5、
6、7章的测评与分析结果,对信息系统基本安全保护状态进行综合判断,并给出等级测评结论,应表述为“符合、“基本符合”或者“不符合”测评结论的判别依据如下测评结论判别依据符合等级测评结果中不存在部分符合项或不符合项基本符合等级测评结果中存在部分符合项或不符合项,但不会导致信息系统面临高等级安全风险不符合等级测评结果中存在部分符合项或不符合项,导致信息系统面临高等级安全风险10安全建设整改建议针对系统存在的主要安全问题提出安全建设整改建议说明
一、每个备案信息系统单独出具测评报告
二、测评报告编号为四组,第一组为公安机关颁发的备案证明(或备案回执)证书编号的前11位,第二组为年份(2位),第三组为测评机构代码,第四组为测评次数^1依据《信息系统安全等级测评过程指南》判定^2安全分类对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别^3安全子类是对安全分类的进一步细化,在《基本要求》目录级别中对应安全分类的下一级目录^4如风险值和评价相同,可填写多个关联资产^5对于多个关联的情况,应分别填写。