等保測評報(bào)告模板

1、信息系統(tǒng)安全等級測評報(bào)告模板項(xiàng)目名稱： 委托單位： 測評單位： 報(bào)告摘要一、測評工作概述 概要描述被測信息系統(tǒng)的基本情況（可參考信 息系統(tǒng)安全 等級保護(hù)備案表） ，包括但不限于： 系統(tǒng)的運(yùn)營使用單 位、 投入 運(yùn)行時(shí)間、 承載的業(yè)務(wù)情況、 系統(tǒng)服務(wù)情況以及定級情 況。 （見 附件：信息系統(tǒng)安全等級保護(hù)備案表）描述等級測評工作的委托單位、測評單位和等級測評工作 的開展 過程，包括投入測評人員與設(shè)備情況、完成的具體工作 內(nèi)容統(tǒng)計(jì)（涉及 的測評分類與項(xiàng)目數(shù)量，檢查的網(wǎng)絡(luò)互聯(lián)與安 全設(shè)備、主機(jī)、應(yīng)用系 統(tǒng)、管理文檔數(shù)量，訪談人員次數(shù)） 。二、等級測評結(jié)果依據(jù)第 4、 5 章的結(jié)果對等級測評結(jié)果進(jìn)行匯總

2、統(tǒng)計(jì) （測評 項(xiàng)符 合情況及比例、單元測評結(jié)果符合情況比例以及整體測評 結(jié)果）；通過 對信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出等級測評 結(jié)論（結(jié)論為達(dá)標(biāo)、 基本達(dá)標(biāo)、不達(dá)標(biāo)） 。三、系統(tǒng)存在的主要問題依據(jù) 6.3 章節(jié)的分析結(jié)果，列出被測信息系統(tǒng)中存在的主 要問題 以及可能造成的后果（如，未部署DDos防御措施，易遭 受DDos攻擊，導(dǎo)致系統(tǒng)無法提供正常服務(wù)） 。公安部信息安全等級保護(hù)評估中心四、系統(tǒng)安全建設(shè)、整改建議第七章針對系統(tǒng)存在的主要問題提出安全建設(shè)、整改建議，是對內(nèi)容的提煉和簡要描述。報(bào)告基本信息信息系統(tǒng)基本情況系統(tǒng)名稱安全保護(hù)等級機(jī)房位置中心機(jī)房災(zāi)備中心其他機(jī)房委托單位單位名稱單位地址

3、郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件測評單位單位名稱通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件報(bào)告審核 批準(zhǔn)編制人日期審核人日期批準(zhǔn)人日期聲明聲明是測評單位對于測評報(bào)告內(nèi)容以及用途等有關(guān)事項(xiàng)做出的約定性陳述，包含但不限于以下內(nèi)容：本報(bào)告中給出的結(jié)論僅對目標(biāo)系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)測評工作完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)）都應(yīng)重新進(jìn)行測評，本報(bào)告不再適用。本報(bào)告中給出的結(jié)論不能作為對系統(tǒng)內(nèi)相關(guān)產(chǎn)品的測評結(jié)論。本報(bào)告結(jié)論的有效性建立在用戶提供材料的真實(shí)性基礎(chǔ)上。在任何情況下，若需引用本報(bào)告中的結(jié)果或數(shù)據(jù)都應(yīng)保持其本來的意義，不得擅自進(jìn)行

4、增加、修改、偽造或掩蓋事實(shí)。測評單位機(jī)構(gòu)名稱報(bào)告目錄 TOC o 1-5 h z HYPERLINK l bookmark12 o Current Document 1 測評項(xiàng)目概述 1.測評目的 1測評依據(jù) 1測評過程 1 HYPERLINK l bookmark20 o Current Document 報(bào)告分發(fā)范圍 2 HYPERLINK l bookmark22 o Current Document 2 被測系統(tǒng)情況 3.基本信息 3業(yè)務(wù)應(yīng)用 4網(wǎng)絡(luò)結(jié)構(gòu) 4系統(tǒng)構(gòu)成 4 HYPERLINK l bookmark32 o Current Document 業(yè)務(wù)應(yīng)用軟件 4 HYPERLI

5、NK l bookmark34 o Current Document 關(guān)鍵數(shù)據(jù)類別 4主機(jī) / 存儲(chǔ)設(shè)備. 5 HYPERLINK l bookmark38 o Current Document 網(wǎng)絡(luò)互聯(lián)與安全設(shè)備 5 HYPERLINK l bookmark40 o Current Document 安全相關(guān)人員 5 HYPERLINK l bookmark42 o Current Document 安全管理文檔 62.5安全環(huán)境 6 HYPERLINK l bookmark46 o Current Document 3 等級測評范圍與方法 7.測評指標(biāo) 7基本指標(biāo). 7附加指標(biāo). 9測評對

6、象 9選擇方法. 9選擇結(jié)果. 9測評方法 11現(xiàn)場測評方法 11風(fēng)險(xiǎn)分析方法 114 等級測評內(nèi)容 12物理安全. 12 HYPERLINK l bookmark60 o Current Document 結(jié)果記錄 12 HYPERLINK l bookmark62 o Current Document 問題分析 12 HYPERLINK l bookmark64 o Current Document 單元測評結(jié)果 12網(wǎng)絡(luò)安全. 12 HYPERLINK l bookmark68 o Current Document 結(jié)果記錄 12 HYPERLINK l bookmark82 o Cur

7、rent Document 問題分析 14 HYPERLINK l bookmark84 o Current Document 單元測評結(jié)果 14主機(jī)安全. 14 HYPERLINK l bookmark80 o Current Document 結(jié)果記錄 14 HYPERLINK l bookmark74 o Current Document 問題分析 15 HYPERLINK l bookmark72 o Current Document 單元測評結(jié)果 154.4應(yīng)用安全. 15結(jié)果記錄 15問題分析 15 HYPERLINK l bookmark76 o Current Document

8、 單元測評結(jié)果 154.5數(shù)據(jù)安全及備份恢復(fù) 15結(jié)果記錄 15問題分析 15 HYPERLINK l bookmark88 o Current Document 單元測評結(jié)果 15安全管理制度. 15結(jié)果記錄 15問題分析 16單元測評結(jié)果 16安全管理機(jī)構(gòu). 16結(jié)果記錄 16問題分析 16單元測評結(jié)果 16人員安全管理. 16結(jié)果記錄 16問題分析 16單元測評結(jié)果 16系統(tǒng)建設(shè)管理. 16結(jié)果記錄 16問題分析 17單元測評結(jié)果 17 HYPERLINK l bookmark86 o Current Document 系統(tǒng)運(yùn)維管理 17結(jié)果記錄. 17問題分析. 17單元測評結(jié)果 .

9、17 HYPERLINK l bookmark90 o Current Document 工具測試 17結(jié)果記錄 . 17問題分析 . 17 HYPERLINK l bookmark92 o Current Document 5 等級測評結(jié)果 17整體測評 17 HYPERLINK l bookmark94 o Current Document 安全控制間安全測評 . 17層面間安全測評 . 18區(qū)域間安全測評 . 18 HYPERLINK l bookmark100 o Current Document 系統(tǒng)結(jié)構(gòu)安全測評 . 18測評結(jié)果 18統(tǒng)計(jì)圖表 22 HYPERLINK l book

10、mark106 o Current Document 6 風(fēng)險(xiǎn)分析和評價(jià) 22 HYPERLINK l bookmark108 o Current Document 安全事件可能性分析 22 HYPERLINK l bookmark110 o Current Document 安全事件后果分析 23 HYPERLINK l bookmark112 o Current Document 風(fēng)險(xiǎn)分析和評價(jià) 23 HYPERLINK l bookmark114 o Current Document 7 系統(tǒng)安全建設(shè)、整改建議 25 HYPERLINK l bookmark116 o Current D

11、ocument 7.1物理安全 25 HYPERLINK l bookmark118 o Current Document 網(wǎng)絡(luò)安全 25主機(jī)安全 25應(yīng)用安全 25數(shù)據(jù)安全及備份恢復(fù) 25安全管理制度 25安全管理機(jī)構(gòu) 25人員安全管理 26系統(tǒng)建設(shè)管理 26系統(tǒng)運(yùn)維管理 . 26附：信息系統(tǒng)安全等級保護(hù)備案表測評項(xiàng)目概述1測評目的描述信息系統(tǒng)的重要性：通過描述信息系統(tǒng)的基本情況，包括運(yùn)營使用單位的性質(zhì)，承載的主要業(yè)務(wù)和系統(tǒng)服務(wù)情況，進(jìn)一步闡明其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，受到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等。描述等級測評工作

12、的基本情況，包括委托單位、測評單位、測評范圍及預(yù)期（如,通過等級測評找出與國家標(biāo)準(zhǔn)要求之間的差距）。描述測評報(bào)告的用途（如，作為后續(xù)安全整改的依據(jù)）。2測評依據(jù)開展測評活動(dòng)所依據(jù)的合同、標(biāo)準(zhǔn)和文件：信息安全等級保護(hù)管理辦法（公通字200743號(hào)）關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知（發(fā)改高技20082071 號(hào)）1GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求（國標(biāo)報(bào)批稿）被測信息系統(tǒng)安全等級保護(hù)定級報(bào)告等級測評任務(wù)書/測評合同等1測評過程南），具體

13、內(nèi)容包描述本次等級測評的工作流程（可參考信息系統(tǒng)安全等級保護(hù)測評過程指括但不限于:測評工作流程圖各階段完成的關(guān)鍵任務(wù)工作的時(shí)間節(jié)點(diǎn)1報(bào)告分發(fā)范圍依據(jù)項(xiàng)目需求，明確應(yīng)交付等級測評報(bào)告的數(shù)量與分發(fā)范圍（如本報(bào)告一式三份，一份提交測評委托單位、一份提交受理備案的公安機(jī)關(guān)、一份由測評單位留存）被測系統(tǒng)情況1基本信息2系統(tǒng)名稱主管機(jī)構(gòu)系統(tǒng)承載業(yè)務(wù) 情況業(yè)務(wù)類型1生產(chǎn)作業(yè)2指揮調(diào)度3管理控制4內(nèi)部辦公5公眾服務(wù)9其他業(yè)務(wù)描述系統(tǒng)服務(wù)情況服務(wù)范圍10全國11跨?。▍^(qū)、市）跨個(gè)20全?。▍^(qū)、市）21跨地（市、區(qū)） 跨個(gè)30地（市、區(qū)）內(nèi)99其它服務(wù)對象1單位內(nèi)部人貝2社會(huì)公眾人貝3兩者均包括9其他系統(tǒng)網(wǎng)絡(luò)平臺(tái)

14、覆蓋范圍1局域網(wǎng)2城域網(wǎng)3廣域網(wǎng)9其他網(wǎng)絡(luò)性質(zhì)1業(yè)務(wù)專網(wǎng)2互聯(lián)網(wǎng)9其它系統(tǒng)互聯(lián)情況1與其他行業(yè)系統(tǒng)連接2與本行業(yè)其他單位系統(tǒng)連接3與本單位其他系統(tǒng)連接9其它業(yè)務(wù)信息安全保護(hù)等級系統(tǒng)服務(wù)安全保護(hù)等級信息系統(tǒng)安全保護(hù)等級2業(yè)務(wù)應(yīng)用描述信息系統(tǒng)承載的業(yè)務(wù)應(yīng)用情況。3網(wǎng)絡(luò)結(jié)構(gòu)給出被測信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括但不限于：功能/安全區(qū)域劃分、隔離與防護(hù)情況關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡介與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備本地備份和災(zāi)備中心的情況1系統(tǒng)構(gòu)成以列表的形式分類描述信息系統(tǒng)的軟、硬件構(gòu)成情況。1.1業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測信息系統(tǒng)中

15、的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱、主要功能簡介和重要程度。序號(hào)軟件名稱主要功能重要程度1.2關(guān)鍵數(shù)據(jù)類別序號(hào)數(shù)據(jù)類型所屬業(yè)務(wù)應(yīng)用主機(jī)/存儲(chǔ)設(shè)備重要程度1.3主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測信息系統(tǒng)中的主機(jī)設(shè)備（包含操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)軟件），描述項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件1.4網(wǎng)絡(luò)互聯(lián)與安全設(shè)備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)及安全設(shè)備。-用途/功能/設(shè)備名稱應(yīng)確保在被測信息系統(tǒng)范圍內(nèi)的唯一性，建議采取類別型號(hào)-編號(hào)（可選）的三段命名方式。序號(hào)設(shè)備名稱用途重要

16、程度1路由器_內(nèi)部_1內(nèi)部邊界路由重要2路由器_VPN_1遠(yuǎn)程官理維護(hù)重要3路由器_VPN_2遠(yuǎn)程官理維護(hù)重要4防火墻_WEB_1Web區(qū)之間訪問控制重要1.5安全相關(guān)人員以列表形式給出與被測信息系統(tǒng)安全相關(guān)的人員，描述項(xiàng)目包括姓名、崗位/角色和聯(lián)系方式。人員包括但不限于安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序號(hào)姓名崗位/角色聯(lián)系方式1.6安全管理文檔與信息系統(tǒng)安全相關(guān)的文檔，包括：管理類文檔，如機(jī)構(gòu)總體安全方針和政策方面的管理制度、人員安全教育和培訓(xùn)方面

17、的管理制度、第三方人員訪問控制方面的管理制度、機(jī)房安全管理方面的管理制度等；記錄類文檔，如設(shè)備運(yùn)行維護(hù)記錄、會(huì)議記錄等；其他類文檔，如專家評審意見等。序號(hào)文檔名稱主要內(nèi)容1安全環(huán)境描述被測信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分：如數(shù)據(jù)中心位于運(yùn)營服務(wù)商機(jī)房中、網(wǎng)絡(luò)存在互聯(lián)網(wǎng)連接、網(wǎng)絡(luò)中部署無線接入點(diǎn)以及支持遠(yuǎn)程撥號(hào)訪問用以列表形式給出被測信息系統(tǒng)的威脅列表，并基于歷史統(tǒng)計(jì)或者行業(yè)判斷進(jìn)行威脅賦值，具體內(nèi)容可參考風(fēng)險(xiǎn)評估規(guī)范不符合A1 7 , 2/ 一 v 一 /一 一 、4 網(wǎng)絡(luò)安全:勾全 吉安23企計(jì) 妄審I A1宀 力兀 一界5靈范心防6A7A8主機(jī)安全92 o22M信路徑22全計(jì) 安審2

18、3和心護(hù) 剩信自22侵范入防2 526222 82 933M信路徑31全計(jì) 安審32知心護(hù) 剩信自33一完性 畫信整33一保性 畫信密35土亠賴抵號(hào)/符合情況符合立1分符合1K不符合33啪3333數(shù)據(jù)安全及備 份恢復(fù)次據(jù)完整性334-保性 據(jù)密4 八i4仝安管才1-rM j rHu -制度444安仝1-rM jIL4446474A4J員 皎 壟丫 管亠 理亠55員崗 人離51員核人考2全識(shí)安意5555、丿于建診營理55全55555555序號(hào)分類子類符合情況符合部分符合不符合60測試驗(yàn)收61系統(tǒng)交付62系統(tǒng)備案63等級測評64安全服務(wù)商選擇65系統(tǒng)運(yùn)維管理環(huán)境管理66資產(chǎn)管理67介質(zhì)管理68設(shè)備管理69監(jiān)控管理和安全管理中心70網(wǎng)絡(luò)安全管理71系統(tǒng)安全管理72惡意代碼防范管理73密碼管理74變更管理75備份與恢復(fù)管理76安全事件處置77應(yīng)急預(yù)案管理3統(tǒng)計(jì)圖表基于不同類別（如設(shè)備和安全子類）對測評結(jié)果以柱狀圖給出統(tǒng)計(jì)圖表。風(fēng)險(xiǎn)分析和評價(jià)1安全事件可能性分析序號(hào)資產(chǎn)名稱等級測評結(jié)果中的 不符合項(xiàng)/部分符合項(xiàng)關(guān)聯(lián)威脅安全事件可能性2安全事件后果分析序號(hào)安全事件安全事件后果描述影響程度3風(fēng)險(xiǎn)分析和評價(jià)綜合安全事件可能性和后果以列表方式給出被測信息系統(tǒng)面臨的風(fēng)險(xiǎn)排序和評價(jià)。序號(hào)風(fēng)險(xiǎn)描