信息安全信息系統(tǒng)等級保護測試報告模板

1、公安部信息安全等級保護評估中心報告編號：(XXXXXXXXXXX-XX-XXXX-XX)信息系統(tǒng)安全等級測評報告模版（試行）系統(tǒng)名稱：被測單位：測評單位：報告時間：年 月 日說明：一、每個備案信息系統(tǒng)單獨出具測評報告。二、測評報告編號為四組數(shù)據(jù)。各組含義和編碼規(guī)則如下：第一組為信息系統(tǒng)備案表編號，由11位數(shù)字組成，可以從公安機 關(guān)頒發(fā)的信息系統(tǒng)備案證明（或備案回執(zhí)）上獲得，即證書編號的前11 位（前6位為受理備案公安機關(guān)代碼，后5位為受理備案的公安機關(guān)給 出的備案單位的順序編號）。第二組為年份，由2位數(shù)字組成。例如09代表2009年。第三組為測評機構(gòu)代碼，由四位數(shù)字組成。前兩位為省級行政區(qū)劃

2、數(shù)字代碼的前兩位或行業(yè)主管部門編號：00為公安部，11為北京，12 為天津，13為河北，14為山西，15為內(nèi)蒙古，21為遼寧，22為吉林， 23為黑龍江，31為上海，32為江蘇，33為浙江，34為安徽，35為福 建，36為江西，37為山東，41為河南，42為湖北，43為湖南，44為 廣東，45為廣西，46為海南，50為重慶，51為四川，52為貴州，53 為云南，54為西藏，61為陜西，62為甘肅，63為青海，64為寧夏，65 為新疆，66為新疆兵團。90為國防科工局，91為電監(jiān)會，92為教育部。 后兩位為公安機關(guān)或行業(yè)主管部門推薦的測評機構(gòu)順序號。第四組為本年度信息系統(tǒng)測評次數(shù)，由兩位構(gòu)成。例

3、如02表示該 信息系統(tǒng)本年度測評2次。信息系統(tǒng)等級測評基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護等級備案證明編號測評結(jié)論被測單位單位名稱單位地址郵政編碼聯(lián)系人姓 名職務(wù)/職稱所屬部門辦公電話移動電話電子郵件測評單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓 名職務(wù)/職稱所屬部門辦公電話移動電話電子郵件審核批準編制人（簽名）編制日期審核人（簽名）審核日期批準人（簽名）批準日期注：單位代碼由受理測評機構(gòu)備案的公安機關(guān)給出。聲明（聲明是測評機構(gòu)對測評報告的有效性前提、測評結(jié)論的適用范圍以及使用方 式等有關(guān)事項的陳述。針對特殊情況下的測評工作，測評機構(gòu)可在以下建議內(nèi)容的 基礎(chǔ)上增加特殊聲明。）本報告是xxx信息

4、系統(tǒng)的等級測評報告。本報告測評結(jié)論的有效性建立在被測評單位提供相關(guān)證據(jù) 的真實性基礎(chǔ)之上。本報告中給出的測評結(jié)論僅對被測信息系統(tǒng)當時的安全狀 態(tài)有效。當測評工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到 的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進行等級測評，本報告 不再適用。本報告中給出的測評結(jié)論不能作為對信息系統(tǒng)內(nèi)部署的相 關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測評結(jié)論。在任何情況下，若需引用本報告中的測評結(jié)果或結(jié)論都應(yīng) 保持其原有的意義，不得對相關(guān)內(nèi)容擅自進行增加、修改和偽 造或掩蓋事實。目錄信息系統(tǒng)等級測評基本信息表聲明 TOC o 1-5 h z HYPERLINK l bookmark88 o Curren

5、t Document 報告摘要I HYPERLINK l bookmark91 o Current Document 測評項目概述1測評目的1測評依據(jù)1 HYPERLINK l bookmark98 o Current Document 測評過程1 HYPERLINK l bookmark101 o Current Document 報告分發(fā)范圍1 HYPERLINK l bookmark104 o Current Document 被測信息系統(tǒng)情況2 HYPERLINK l bookmark107 o Current Document 承載的業(yè)務(wù)情況2 HYPERLINK l bookmar

6、k110 o Current Document 網(wǎng)絡(luò)結(jié)構(gòu)2 HYPERLINK l bookmark113 o Current Document 系統(tǒng)構(gòu)成2業(yè)務(wù)應(yīng)用軟件2關(guān)鍵數(shù)據(jù)類別2主機/存儲設(shè)備3網(wǎng)絡(luò)互聯(lián)設(shè)備3 HYPERLINK l bookmark116 o Current Document 安全設(shè)備3安全相關(guān)人員3安全管理文檔4 HYPERLINK l bookmark119 o Current Document 安全環(huán)境4 HYPERLINK l bookmark122 o Current Document 前次測評情況4 HYPERLINK l bookmark125 o Cur

7、rent Document 等級測評范圍與方法4 HYPERLINK l bookmark128 o Current Document 測評指標4 HYPERLINK l bookmark131 o Current Document 基本指標5特殊指標5 HYPERLINK l bookmark134 o Current Document 測評對象5測評對象選擇方法;5測評對象選擇結(jié)果5 HYPERLINK l bookmark142 o Current Document 測評方法7 HYPERLINK l bookmark145 o Current Document 單元測評8物理安全8 H

8、YPERLINK l bookmark158 o Current Document 結(jié)果記錄8 HYPERLINK l bookmark162 o Current Document 結(jié)果匯總8 HYPERLINK l bookmark166 o Current Document 問題分析8網(wǎng)絡(luò)安全9 HYPERLINK l bookmark170 o Current Document 結(jié)果記錄9 HYPERLINK l bookmark174 o Current Document 結(jié)果匯總9 HYPERLINK l bookmark178 o Current Document 問題分析9主機安

9、全9 HYPERLINK l bookmark197 o Current Document 結(jié)果記錄9 HYPERLINK l bookmark200 o Current Document 結(jié)果匯總9 HYPERLINK l bookmark182 o Current Document 問題分析9應(yīng)用安全9結(jié)果記錄 9 HYPERLINK l bookmark152 o Current Document 結(jié)果匯總 9 HYPERLINK l bookmark186 o Current Document 問題分析 9數(shù)據(jù)安全及備份恢復(fù)9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmar

10、k190 o Current Document 問題分析 9安全管理制度9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmark194 o Current Document 問題分析9安全管理機構(gòu)9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmark203 o Current Document 問題分析9人員安全管理10結(jié)果記錄10結(jié)果匯總10 HYPERLINK l bookmark155 o Current Document 問題分析 10系統(tǒng)建設(shè)管理10結(jié)果記錄 10結(jié)果匯總 10問題分析 10系統(tǒng)運維管理10結(jié)果記錄 10結(jié)果匯總 10問題分析 10 HYPERLIN

11、K l bookmark206 o Current Document 整體測評11安全控制間安全測評11層面間安全測評11區(qū)域間安全測評11系統(tǒng)結(jié)構(gòu)安全測評11 HYPERLINK l bookmark209 o Current Document 測評結(jié)果匯總12 HYPERLINK l bookmark212 o Current Document 風險分析和評價13 HYPERLINK l bookmark222 o Current Document 等級測評結(jié)論14 HYPERLINK l bookmark225 o Current Document 安全建設(shè)整改建議15報告摘要（建議不超

12、過800字）簡要描述被測信息系統(tǒng)的名稱、安全等級、承載的業(yè)務(wù)等 基本情況。簡要描述測評范圍和主要內(nèi)容。簡要描述測評指標的符合性情況，給出測評結(jié)論（包括符 合、基本符合和不符合）。簡要描述測評中發(fā)現(xiàn)的主要問題和危害，并提出安全建設(shè) 整改建議。1測評項目概述1.1測評目的1.2測評依據(jù)列出開展測評活動所依據(jù)的文件、標準和合同等。1.3測評過程描述等級測評工作流程，包括測評工作流程圖、各階段完成的關(guān)鍵任務(wù)和工作 的時間節(jié)點等內(nèi)容。1.4報告分發(fā)范圍說明等級測評報告正本的份數(shù)與分發(fā)范圍。2被測信息系統(tǒng)情況參照備案信息簡要描述信息系統(tǒng)。2.1承載的業(yè)務(wù)情況描述信息系統(tǒng)承載的業(yè)務(wù)、應(yīng)用等情況。2.2網(wǎng)絡(luò)結(jié)

13、構(gòu)給出被測信息系統(tǒng)的拓撲結(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡(luò) 結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護情況、關(guān)鍵網(wǎng)絡(luò)和主機設(shè)備的 部署情況和功能簡介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備 中心的情況。2.3系統(tǒng)構(gòu)成2.3.1業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。1依據(jù)信息系統(tǒng)安全等級測評過程指南判定2.3.3主機/存儲設(shè)備以列表形式給出被測信息系統(tǒng)中的主機設(shè)備，描述主機設(shè)備的項目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號設(shè)備名稱操作系統(tǒng)數(shù)據(jù)

14、庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件 2.3.4網(wǎng)絡(luò)互聯(lián)設(shè)備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)設(shè)備。序號設(shè)備名稱用途重要程度 2.3.5安全設(shè)備以列表形式給出被測信息系統(tǒng)中的安全設(shè)備。序號設(shè)備名稱用途重要程度 2.3.6安全相關(guān)人員以列表形式給出與被測信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限 于）安全主管、系統(tǒng)建設(shè)負責人、系統(tǒng)運維負責人、網(wǎng)絡(luò)（安全）管理員、主機（安 全）管理員、數(shù)據(jù)庫（安全）管理員、應(yīng)用（安全）管理員、機房管理人員、資產(chǎn) 管理員、業(yè)務(wù)操作員、安全審計人員等。序號姓名崗位/角色聯(lián)系方式 序號姓名崗位/角色聯(lián)系方式2.3.7安全管理文檔以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管

15、理類文檔、記錄類文檔和 其他文檔。序號文檔名稱主要內(nèi)容 2.4安全環(huán)境描述被測信息系統(tǒng)的運行環(huán)境中與安全相關(guān)的部分，并以列表形式給出被測信 息系統(tǒng)的威脅列表并賦值。威脅賦值是基于歷史統(tǒng)計或者行業(yè)判斷進行的，具體內(nèi) 容可參考風險評估規(guī)范。序號威脅分（子）類描述威脅賦值 2.5前次測評情況簡要描述前次等級測評發(fā)現(xiàn)的主要問題和測評結(jié)論。3等級測評范圍與方法3.1測評指標測評指標包括基本指標和特殊指標兩部分。3.1.1基本指標依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級，選擇基 本要求中對應(yīng)級別的安全要求作為等級測評的基本指標。鑒于信息系統(tǒng)的復(fù)雜性和特殊性（如某些信息系統(tǒng)未部署數(shù)據(jù)庫服

16、務(wù)器），基本結(jié)合行業(yè)和系統(tǒng)的實際，以列表形式給出基本要求未覆蓋或者高于基本要求的安全要求。安全分類安全子類特殊要求描述測評項數(shù) 3.2測評對象3.2.1測評對象選擇方法描述測評對象的選擇規(guī)則和方法。3*2*2測評對象選擇結(jié)果1）機房序號機房名稱物理位置1安全分類對應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制 度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等10個安全要求類別。2安全子類是對安全分類的進一步細化，在基本要求目錄級別中對應(yīng)安全分類的下一級目錄。2）業(yè)務(wù)應(yīng)用軟件序號軟件名稱主要功能 3）主機（存儲）操作系統(tǒng)序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)

17、庫管理系統(tǒng) 4）數(shù)據(jù)庫管理系統(tǒng)序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng) 5）網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號操作系統(tǒng)名稱設(shè)備名稱 6）安全設(shè)備操作系統(tǒng)序號操作系統(tǒng)名稱設(shè)備名稱 8）安全管理文檔3.3測評方法描述等級測評工作中采用的訪談、檢查、測試和風險分析等方法。4單元測評等級測評內(nèi)容包括“3.1測評指標”中涉及的物理安全、網(wǎng)絡(luò)安全、主機安全等 10個安全分類，具體內(nèi)容由結(jié)果記錄、問題分析和結(jié)果匯總等三部分構(gòu)成。4.1物理安全4.1.1結(jié)果記錄以表格形式給出物理安全的現(xiàn)場測評結(jié)果。安全子類測評指標結(jié)果記錄符合情況物理位置的選擇 物理訪問控制 4.1.2結(jié)果匯總針對不同測評指標子類對物理安全的單項測評結(jié)果進

18、行匯總和統(tǒng)計。4.1.3問題分析針對物理安全測評結(jié)果中存在的部分符合項或不符合項加以匯總和分析，形成 安全問題描述。4.2網(wǎng)絡(luò)安全4.2.1結(jié)果記錄4.2.2結(jié)果匯總4.2.3問題分析4.3主機安全結(jié)果記錄結(jié)果匯總問題分析4.4應(yīng)用安全結(jié)果記錄結(jié)果匯總問題分析4.5數(shù)據(jù)安全及備份恢復(fù)4.5.1結(jié)果記錄4.5.2結(jié)果匯總問題分析4.6安全管理制度4.6.1結(jié)果記錄4.6.2結(jié)果匯總問題分析4.7安全管理機構(gòu)4.7.1結(jié)果記錄4.7.2結(jié)果匯總問題分析4.8人員安全管理4.8.1結(jié)果記錄4.8.2結(jié)果匯總4.8.3問題分析4.9系統(tǒng)建設(shè)管理4.9.1結(jié)果記錄4.9.2結(jié)果匯總4.9.3 問題分析4

19、.10系統(tǒng)運維管理4.10.1結(jié)果記錄4.10.2結(jié)果匯總4.10.3問題分析5整體測評從安全控制間、層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)等方面對單元測評的結(jié)果進行驗證、 分析和整體評價。具體內(nèi)容參見信息安全技術(shù)信息系統(tǒng)安全等級保護測評要求。5.1安全控制間安全測評5.2層面間安全測評5.3區(qū)域間安全測評5.4系統(tǒng)結(jié)構(gòu)安全測評6測評結(jié)果匯總一是以表格形式匯總測評結(jié)果。表格以不同顏色對測評結(jié)果進行區(qū)分，部分符 合的安全子類采用黃色標識，不符合的安全子類采用紅色標識。序號安全分類安全子類符合情況符合部分符合不符合1物理安全物理位置的選擇2物理訪問控制口3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護 統(tǒng)計721二是以柱狀圖形式統(tǒng)計不同設(shè)備和安全子類的測評結(jié)果。三是以表格形式匯總信息系統(tǒng)中存在的安全問題。7風險分