等级保护测评报告模板

BG 报告编号 XXXXXXXXXXX XXXXX XX XXXX XX 信息系统安全等级测评报告信息系统安全等级测评报告 系统名称 系统名称 委托单位 委托单位 测评单位 测评单位 报告时间 报告时间 年年 月月 日日 山东省电子信息产品检验院 信息系统等级测评基本信息表 I 信息系统等级测评基本信息信息系统等级测评基本信息表表 信息系统信息系统 系统名称安全保护等级 备案证明编号测评结论 被测单位被测单位 单位名称 单位地址邮政编码 姓名职务 职称 所属部门办公电话 联系人 移动电话电子邮件 测评单位测评单位 单位名称单位代码 通信地址邮政编码 姓名职务 职称 所属部门办公电话联系人 移动电话电子邮件 编制人 签名 编制日期 审核人 签名 审核日期 审核批准 批准人 签名 批准日期 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 声明 II 声明声明 本报告是 xxx 信息系统的等级测评报告 本报告测评结论的有效性建立在被测评单位提供相关证据的真实 性基础之上 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效 当测评工作完成后 由于信息系统发生变更而涉及到的系统构成组件 或子系统 都应重新进行等级测评 本报告不再适用 本报告中给出的测评结论不能作为对信息系统内部署的相关系统 构成组件 或产品 的测评结论 在任何情况下 若需引用本报告中的测评结果或结论都应保持其 原有的意义 不得对相关内容擅自进行增加 修改和伪造或掩盖事实 山东省电子信息产品检验院 年 月 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 等级测评结论 III 等等级级测测评评结结论论 测评结论与综合得分测评结论与综合得分 系统名称系统名称保护等级保护等级 系统简介系统简介 测评过程简介测评过程简介 测评结论测评结论综合得分综合得分 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 总体评价 IV 总总体体评评价价 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 主要安全问题 V 主主要要安安全全问问题题 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 问题处置建议 VI 问问题题处处置置建建议议 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 目录 VII 目录目录 等级测评结论等级测评结论 III 总体评价总体评价 IV 主要安全问题主要安全问题 V 问题处置建议问题处置建议 VI 1 1测评项目概述测评项目概述 1 1 11 1测评目的测评目的 1 1 21 2测评依据测评依据 1 1 31 3测评过程测评过程 1 1 41 4报告分发范围报告分发范围 1 2 2被测信息系统情况被测信息系统情况 1 2 12 1承载的业务情况承载的业务情况 1 2 22 2网络结构网络结构 1 2 32 3系统资产系统资产 2 2 3 12 3 1机房机房 2 2 3 22 3 2网络设备网络设备 2 2 3 32 3 3安全设备安全设备 2 2 3 42 3 4服务器服务器 存储设备存储设备 2 2 3 52 3 5终端终端 3 2 3 62 3 6业务应用软件业务应用软件 3 2 3 72 3 7关键数据类别关键数据类别 3 2 3 82 3 8安全相关人员安全相关人员 4 2 3 92 3 9安全管理文档安全管理文档 4 2 42 4安全服务安全服务 4 2 52 5安全环境威胁评估安全环境威胁评估 5 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 目录 VIII 2 62 6前次测评情况前次测评情况 5 3 3等级测评范围与方法等级测评范围与方法 5 3 13 1测评指标测评指标 5 3 1 13 1 1基本指标基本指标 5 3 1 23 1 2不适用指标不适用指标 6 3 1 33 1 3特殊指标特殊指标 6 3 23 2测评对象测评对象 6 3 2 13 2 1测评对象选择方法测评对象选择方法 7 3 2 23 2 2测评对象选择结果测评对象选择结果 7 3 33 3测评方法测评方法 8 4 4单元测评单元测评 9 4 14 1物理安全物理安全 9 4 1 14 1 1结果汇总结果汇总 9 4 1 24 1 2结果分析结果分析 9 4 24 2网络安全网络安全 10 4 2 14 2 1结果汇总结果汇总 10 4 2 24 2 2结果分析结果分析 10 4 34 3主机安全主机安全 10 4 3 14 3 1结果汇总结果汇总 10 4 3 24 3 2结果分析结果分析 10 4 44 4应用安全应用安全 10 4 4 14 4 1结果汇总结果汇总 10 4 4 24 4 2结果分析结果分析 10 4 54 5数据安全及备份恢复数据安全及备份恢复 10 4 5 14 5 1结果汇总结果汇总 10 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 目录 IX 4 5 24 5 2结果分析结果分析 10 4 64 6安全管理制度安全管理制度 10 4 6 14 6 1结果汇总结果汇总 10 4 6 24 6 2结果分析结果分析 11 4 74 7安全管理机构安全管理机构 11 4 7 14 7 1结果汇总结果汇总 11 4 7 24 7 2结果分析结果分析 11 4 84 8人员安全管理人员安全管理 11 4 8 14 8 1结果汇总结果汇总 11 4 8 24 8 2结果分析结果分析 11 4 94 9系统建设管理系统建设管理 11 4 9 14 9 1结果汇总结果汇总 11 4 9 24 9 2结果分析结果分析 11 4 104 10系统运维管理系统运维管理 11 4 10 14 10 1结果汇总结果汇总 11 4 10 24 10 2结果分析结果分析 11 4 114 11 特殊指标 特殊指标 11 4 11 14 11 1结果汇总结果汇总 11 4 11 24 11 2结果分析结果分析 11 4 124 12单元测评小结单元测评小结 12 4 12 14 12 1控制点符合情况汇总控制点符合情况汇总 12 4 12 24 12 2安全问题汇总安全问题汇总 13 5 5整体测评整体测评 13 5 15 1安全控制间安全测评安全控制间安全测评 13 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 目录 X 5 25 2层面间安全测评层面间安全测评 13 5 35 3区域间安全测评区域间安全测评 13 5 45 4验证测试验证测试 13 5 55 5整体测评结果汇总整体测评结果汇总 14 6 6总体安全状况分析总体安全状况分析 14 6 16 1系统安全保障评估系统安全保障评估 14 6 26 2安全问题风险评估安全问题风险评估 18 6 36 3等级测评结论等级测评结论 19 7 7问题处置建议问题处置建议 20 附录附录 A 等级测评结果记录等级测评结果记录 21 A 1A 1 物理安全物理安全 21 A 2A 2 网络安全网络安全 21 A 3A 3 主机安全主机安全 21 A 4A 4 应用安全应用安全 21 A 5A 5 数据安全及备份恢复数据安全及备份恢复 21 A 6A 6 安全管理制度安全管理制度 21 A 7A 7 安全管理机构安全管理机构 21 A 8A 8 人员安全管理人员安全管理 22 A 9A 9 系统建设管理系统建设管理 22 A 10A 10 系统运维管理系统运维管理 22 A 11A 11 特殊指标安全层面 特殊指标安全层面 22 A 12A 12 验证测试验证测试 22 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 1 页 1 1测测评评项项目目概概述述 1 11 1 测评目的测评目的 1 21 2 测评依据测评依据 1 31 3 测评过程测评过程 1 41 4 报告分发范围报告分发范围 2 2被被测测信信息息系系统统情情况况 2 12 1 承载的业务承载的业务情况情况 2 22 2 网络结构网络结构 2 32 3 系统系统资产资产 2 2 3 3 1 1 机机房房 序号序号机房名称机房名称物理位置物理位置 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 2 页 2 2 3 3 2 2 网网络络设设备备 序序 号号 设备名称设备名称操作系统操作系统品牌品牌型号型号用途用途 数量数量 台 台 套 套 重要程重要程 度度 2 2 3 3 3 3 安安全全设设备备 序序 号号 设备名称设备名称操作系统操作系统品牌品牌型号型号用途用途 数量数量 台 台 套 套 重要程重要程 度度 2 2 3 3 4 4 服服务务器器 存存储储设设备备 序序 号号 设备名称设备名称 操作系统操作系统 数据库管理系统数据库管理系统 版本版本业务应用软件业务应用软件 数量数量 台 台 套 套 重要重要 程度程度 2 2 3 3 5 5 终终端端 序号序号设备名称设备名称操作系统操作系统用途用途 数量 台数量 台 套 套 重要程度重要程度 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 3 页 2 2 3 3 6 6 业业务务应应用用软软件件 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 2 2 3 3 7 7 关关键键数数据据类类别别 序号序号数据类别数据类别所属业务应用所属业务应用安全防护需求安全防护需求重要程度重要程度 2 2 3 3 8 8 安安全全相相关关人人员员 序号序号姓名姓名岗位岗位 角色角色联系方式联系方式 2 2 3 3 9 9 安安全全管管理理文文档档 序号序号文档名称文档名称主要内容主要内容 2 42 4 安全服务安全服务 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 4 页 序号序号安全服务名称安全服务名称安全服务商安全服务商 2 52 5 安全环境安全环境威胁评估威胁评估 序号序号威胁分威胁分 子子 类类描述描述 2 62 6 前次测评情况前次测评情况 3 3等等级级测测评评范范围围与与方方法法 3 13 1 测评指标测评指标 3 3 1 1 1 1 基基本本指指标标 表 3 1 基本指标 安全层面安全层面安全控制点安全控制点测评项数测评项数 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 5 页 安全层面安全层面安全控制点安全控制点测评项数测评项数 3 3 1 1 2 2 不不适适用用指指标标 表 3 2 不适用指标 安全层面安全层面安全控制点安全控制点不适用项不适用项原因说明原因说明 3 3 1 1 3 3 特特殊殊指指标标 安全层面安全层面安全控制点安全控制点特殊要求描述特殊要求描述测评项数测评项数 3 23 2 测评对象测评对象 3 3 2 2 1 1 测测评评对对象象选选择择方方法法 3 3 2 2 2 2 测测评评对对象象选选择择结结果果 1 1 机机房房 序号序号机房名称机房名称物理位置物理位置重要程度重要程度 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 6 页 序号序号机房名称机房名称物理位置物理位置重要程度重要程度 2 2 网网络络设设备备 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 3 3 安安全全设设备备 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 4 4 服服务务器器 存存储储设设备备 序号序号设备名称设备名称 操作系统操作系统 数据库管理系统数据库管理系统 业务应用软件业务应用软件重要程度重要程度 5 5 终终端端 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 6 6 数数据据库库管管理理系系统统 序号序号数据库系统名称数据库系统名称数据库管理系统类型数据库管理系统类型所在设备名称所在设备名称重要程度重要程度 7 7 业业务务应应用用软软件件 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 7 页 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 8 8 访访谈谈人人员员 序号序号姓名姓名岗位岗位 职责职责 9 9 安安全全管管理理文文档档 序号序号文档名称文档名称主要内容主要内容 3 33 3 测评测评方法方法 4 4单单元元测测评评 4 14 1 物理安全物理安全 4 4 1 1 1 1 结结果果汇汇总总 表 4 1 物理安全 单元测评结果汇总表 安全控制点安全控制点 序序 号号 测评测评 对象对象 符合符合 情况情况 物理位物理位 置的选置的选 择择 物理物理 访问访问 控制控制 防盗窃防盗窃 和防破和防破 坏坏 防防 雷雷 击击 防防 火火 防水防水 和防和防 潮潮 防静防静 电电 温湿温湿 度控度控 制制 电力电力 供应供应 电磁电磁 屏蔽屏蔽 1 对象 1 符合 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 8 页 序序 号号 测评测评 对象对象 符合符合 情况情况 安全控制点安全控制点 物理位物理位 置的选置的选 择择 物理物理 访问访问 控制控制 防盗窃防盗窃 和防破和防破 坏坏 防防 雷雷 击击 防防 火火 防水防水 和防和防 潮潮 防静防静 电电 温湿温湿 度控度控 制制 电力电力 供应供应 电磁电磁 屏蔽屏蔽 部分 符合 不符 合 不适 用 4 4 1 1 2 2 结结果果分分析析 4 24 2 网络安全网络安全 4 4 2 2 1 1 结结果果汇汇总总 4 4 2 2 2 2 结结果果分分析析 4 34 3 主机安全主机安全 4 4 3 3 1 1 结结果果汇汇总总 4 4 3 3 2 2 结结果果分分析析 4 44 4 应用安全应用安全 4 4 4 4 1 1 结结果果汇汇总总 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 9 页 4 4 4 4 2 2 结结果果分分析析 4 54 5 数据安全及备份恢复数据安全及备份恢复 4 4 5 5 1 1 结结果果汇汇总总 4 4 5 5 2 2 结结果果分分析析 4 64 6 安全管理制度安全管理制度 4 4 6 6 1 1 结结果果汇汇总总 4 4 6 6 2 2 结结果果分分析析 4 74 7 安全管理机构安全管理机构 4 4 7 7 1 1 结结果果汇汇总总 4 4 7 7 2 2 结结果果分分析析 4 84 8 人员安全管理人员安全管理 4 4 8 8 1 1 结结果果汇汇总总 4 4 8 8 2 2 结结果果分分析析 4 94 9 系统建设管理系统建设管理 4 4 9 9 1 1 结结果果汇汇总总 4 4 9 9 2 2 结结果果分分析析 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 10 页 4 104 10系统运维管理系统运维管理 4 4 1 10 0 1 1结结果果汇汇总总 4 4 1 10 0 2 2结结果果分分析析 4 114 11 特殊指标 特殊指标 4 4 1 11 1 1 1结结果果汇汇总总 4 4 1 11 1 2 2结结果果分分析析 4 124 12单元测评小结单元测评小结 4 4 1 12 2 1 1控控制制点点符符合合情情况况汇汇总总 表 4 单元测评结果分类统计表 符合情况符合情况序序 号号 安全安全 层面层面 安全控制点安全控制点 安全控制安全控制 点得分点得分 符合符合部分符合部分符合不符合不符合不适用不适用 1物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10 物理安全 电磁防护 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 11 页 序序 号号 安全安全 层面层面 安全控制点安全控制点 安全控制安全控制 点得分点得分 符合情况符合情况 符合符合部分符合部分符合不符合不符合不适用不适用 统 计 4 4 1 12 2 2 2安安全全问问题题汇汇总总 表 4 4 安全问题汇总表 问题问题 编号编号 安全问题安全问题测评对象测评对象 安全层安全层 面面 安全控安全控 制点制点 测评测评 项项 测评项测评项 权重权重 问题严重程问题严重程 度值度值 5 5整整体体测测评评 5 15 1 安全控制间安全测评安全控制间安全测评 5 25 2 层面间安全测评层面间安全测评 5 35 3 区域间安全测评区域间安全测评 5 45 4 验证测试验证测试 5 55 5 整体测评结果汇总整体测评结果汇总 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 12 页 表 5 1 修正后的安全问题汇总表 序序 号号 问题编问题编 号号 安全问题描述安全问题描述 测评项测评项 权重权重 整体测整体测 评描述评描述 修正修正 因子因子 修正后问修正后问 题严重程题严重程 度值度值 修正后测修正后测 评项符合评项符合 程度程度 6 6总总体体安安全全状状况况分分析析 6 16 1 系统安全保障评估系统安全保障评估 表 6 1 系统安全保障情况得分表 序号序号安全层面安全层面安全控制点安全控制点安全控制点得分安全控制点得分安全层面得分安全层面得分 1物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10 物理安全 电磁防护 11结构安全 12访问控制 13安全审计 14 网络安全 边界完整性检查 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 13 页 序号序号安全层面安全层面安全控制点安全控制点安全控制点得分安全控制点得分安全层面得分安全层面得分 15入侵防范 16恶意代码防范 17网络设备防护 18身份鉴别 19安全标记 20访问控制 21可信路径 22安全审计 23 剩余信息保护 24 入侵防范 25 恶意代码防范 26 主机安全 资源控制 27身份鉴别 28安全标记 29访问控制 30可信路径 31安全审计 32剩余信息保护 33通信完整性 34通信保密性 35抗抵赖 36软件容错 37 应用安全 资源控制 38数据完整性 39 数据安 全及备 份恢复 数据保密性 XXXXXXXXXXX XXXXX XX XXXX XX 2015 版 正文第 14 页 序号序号安全层面安全层面安全控制点安全控制点安全控制点得分安全控制点得分安全层面得分安全层面得分 40备份和恢复 41管理制度 42制定和发布 43 安全管理制 度 评审和修订 44岗位设置 45人员配备 46授权和审批 47沟通和合作 48 安全管理机构 审核和检查 49人员录用 50人员离岗 51人员考核 52安全意识教育和培训 53 人员安全管理 外部人员访问管理 54系统定级 55安全方案设计 56产品采购和使