等级保护测评报告模板剖析

BG 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 信息系统安全等级测评报告信息系统安全等级测评报告 系统名称：系统名称： 委托单位：委托单位： 测评单位：测评单位： 报告时间：报告时间： 年年 月月 日日 山东省电子信息产品检验院 信息系统等级测评基本信息表-I- 信息系统等级测评基本信息信息系统等级测评基本信息表表 信息系统信息系统 系统名称安全保护等级 备案证明编号测评结论 被测单位被测单位 单位名称 单位地址邮政编码 姓名职务/职称 所属部门办公电话 联系人 移动电话电子邮件 测评单位测评单位 单位名称单位代码 通信地址邮政编码 姓名职务/职称 所属部门办公电话联系人 移动电话电子邮件 编制人(签名)编制日期 审核人(签名)审核日期 审核批准 批准人(签名)批准日期 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 声明-II- 声明声明 本报告是 xxx 信息系统的等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实 性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。 当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件 （或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统 构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原 有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 山东省电子信息产品检验院 年 月 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 等级测评结论-III- 等等级级测测评评结结论论 测评结论与综合得分测评结论与综合得分 系统名称系统名称保护等级保护等级 系统简介系统简介 测评过程简介测评过程简介 测评结论测评结论综合得分综合得分 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 总体评价 -IV- 总总体体评评价价 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 主要安全问题 -V- 主主要要安安全全问问题题 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 问题处置建议 -VI- 问问题题处处置置建建议议 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 目录 -VII- 目录目录 等级测评结论等级测评结论.III 总体评价总体评价.IV 主要安全问题主要安全问题 .V 问题处置建议问题处置建议 .VI 1 1测评项目概述测评项目概述.1 1.11.1测评目的测评目的.1 1.21.2测评依据测评依据.1 1.31.3测评过程测评过程.1 1.41.4报告分发范围报告分发范围.1 2 2被测信息系统情况被测信息系统情况 .1 2.12.1承载的业务情况承载的业务情况.1 2.22.2网络结构网络结构.1 2.32.3系统资产系统资产.2 2.3.12.3.1机房机房.2 2.3.22.3.2网络设备网络设备.2 2.3.32.3.3安全设备安全设备.2 2.3.42.3.4服务器服务器/ /存储设备存储设备.2 2.3.52.3.5终端终端.3 2.3.62.3.6业务应用软件业务应用软件.3 2.3.72.3.7关键数据类别关键数据类别.3 2.3.82.3.8安全相关人员安全相关人员.4 2.3.92.3.9安全管理文档安全管理文档.4 2.42.4安全服务安全服务.4 2.52.5安全环境威胁评估安全环境威胁评估.5 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 目录 -VIII- 2.62.6前次测评情况前次测评情况.5 3 3等级测评范围与方法等级测评范围与方法.5 3.13.1测评指标测评指标.5 3.1.13.1.1基本指标基本指标.5 3.1.23.1.2不适用指标不适用指标.6 3.1.33.1.3特殊指标特殊指标.6 3.23.2测评对象测评对象.6 3.2.13.2.1测评对象选择方法测评对象选择方法.7 3.2.23.2.2测评对象选择结果测评对象选择结果.7 3.33.3测评方法测评方法.8 4 4单元测评单元测评 .9 4.14.1物理安全物理安全.9 4.1.14.1.1结果汇总结果汇总.9 4.1.24.1.2结果分析结果分析.9 4.24.2网络安全网络安全.10 4.2.14.2.1结果汇总结果汇总.10 4.2.24.2.2结果分析结果分析.10 4.34.3主机安全主机安全.10 4.3.14.3.1结果汇总结果汇总.10 4.3.24.3.2结果分析结果分析.10 4.44.4应用安全应用安全.10 4.4.14.4.1结果汇总结果汇总.10 4.4.24.4.2结果分析结果分析.10 4.54.5数据安全及备份恢复数据安全及备份恢复.10 4.5.14.5.1结果汇总结果汇总.10 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 目录 -IX- 4.5.24.5.2结果分析结果分析.10 4.64.6安全管理制度安全管理制度.10 4.6.14.6.1结果汇总结果汇总.10 4.6.24.6.2结果分析结果分析.11 4.74.7安全管理机构安全管理机构.11 4.7.14.7.1结果汇总结果汇总.11 4.7.24.7.2结果分析结果分析.11 4.84.8人员安全管理人员安全管理.11 4.8.14.8.1结果汇总结果汇总.11 4.8.24.8.2结果分析结果分析.11 4.94.9系统建设管理系统建设管理.11 4.9.14.9.1结果汇总结果汇总.11 4.9.24.9.2结果分析结果分析.11 4.104.10系统运维管理系统运维管理.11 4.10.14.10.1结果汇总结果汇总.11 4.10.24.10.2结果分析结果分析.11 4.114.11（特殊指标）（特殊指标）.11 4.11.14.11.1结果汇总结果汇总.11 4.11.24.11.2结果分析结果分析.11 4.124.12单元测评小结单元测评小结.12 4.12.14.12.1控制点符合情况汇总控制点符合情况汇总.12 4.12.24.12.2安全问题汇总安全问题汇总.13 5 5整体测评整体测评 .13 5.15.1安全控制间安全测评安全控制间安全测评.13 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 目录 -X- 5.25.2层面间安全测评层面间安全测评.13 5.35.3区域间安全测评区域间安全测评.13 5.45.4验证测试验证测试.13 5.55.5整体测评结果汇总整体测评结果汇总.14 6 6总体安全状况分析总体安全状况分析 .14 6.16.1系统安全保障评估系统安全保障评估.14 6.26.2安全问题风险评估安全问题风险评估.18 6.36.3等级测评结论等级测评结论.19 7 7问题处置建议问题处置建议.20 附录附录 A 等级测评结果记录等级测评结果记录.21 A.1A.1 物理安全物理安全.21 A.2A.2 网络安全网络安全.21 A.3A.3 主机安全主机安全.21 A.4A.4 应用安全应用安全.21 A.5A.5 数据安全及备份恢复数据安全及备份恢复.21 A.6A.6 安全管理制度安全管理制度.21 A.7A.7 安全管理机构安全管理机构.21 A.8A.8 人员安全管理人员安全管理.22 A.9A.9 系统建设管理系统建设管理.22 A.10A.10 系统运维管理系统运维管理.22 A.11A.11 （特殊指标安全层面）（特殊指标安全层面） .22 A.12A.12 验证测试验证测试.22 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 1 页 1 1测测评评项项目目概概述述 1.11.1 测评目的测评目的 1.21.2 测评依据测评依据 1.31.3 测评过程测评过程 1.41.4 报告分发范围报告分发范围 2 2被被测测信信息息系系统统情情况况 2.12.1 承载的业务承载的业务情况情况 2.22.2 网络结构网络结构 2.32.3 系统系统资产资产 2 2. .3 3. .1 1 机机房房 序号序号机房名称机房名称物理位置物理位置 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 2 页 2 2. .3 3. .2 2 网网络络设设备备 序序 号号 设备名称设备名称操作系统操作系统品牌品牌型号型号用途用途 数量数量 （台（台/套）套） 重要程重要程 度度 2 2. .3 3. .3 3 安安全全设设备备 序序 号号 设备名称设备名称操作系统操作系统品牌品牌型号型号用途用途 数量数量 （台（台/套）套） 重要程重要程 度度 2 2. .3 3. .4 4 服服务务器器/ /存存储储设设备备 序序 号号 设备名称设备名称 操作系统操作系统 /数据库管理系统数据库管理系统 版本版本业务应用软件业务应用软件 数量数量 （台（台/套）套） 重要重要 程度程度 2 2. .3 3. .5 5 终终端端 序号序号设备名称设备名称操作系统操作系统用途用途 数量（台数量（台/套）套） 重要程度重要程度 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 3 页 2 2. .3 3. .6 6 业业务务应应用用软软件件 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 2 2. .3 3. .7 7 关关键键数数据据类类别别 序号序号数据类别数据类别所属业务应用所属业务应用安全防护需求安全防护需求重要程度重要程度 2 2. .3 3. .8 8 安安全全相相关关人人员员 序号序号姓名姓名岗位岗位/角色角色联系方式联系方式 2 2. .3 3. .9 9 安安全全管管理理文文档档 序号序号文档名称文档名称主要内容主要内容 2.42.4 安全服务安全服务 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 4 页 序号序号安全服务名称安全服务名称安全服务商安全服务商 2.52.5 安全环境安全环境威胁评估威胁评估 序号序号威胁分威胁分(子子)类类描述描述 2.62.6 前次测评情况前次测评情况 3 3等等级级测测评评范范围围与与方方法法 3.13.1 测评指标测评指标 3 3. .1 1. .1 1 基基本本指指标标 表 3-1 基本指标 安全层面安全层面安全控制点安全控制点测评项数测评项数 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 5 页 安全层面安全层面安全控制点安全控制点测评项数测评项数 3 3. .1 1. .2 2 不不适适用用指指标标 表 3-2 不适用指标 安全层面安全层面安全控制点安全控制点不适用项不适用项原因说明原因说明 3 3. .1 1. .3 3 特特殊殊指指标标 安全层面安全层面安全控制点安全控制点特殊要求描述特殊要求描述测评项数测评项数 3.23.2 测评对象测评对象 3 3. .2 2. .1 1 测测评评对对象象选选择择方方法法 3 3. .2 2. .2 2 测测评评对对象象选选择择结结果果 1 1） 机机房房 序号序号机房名称机房名称物理位置物理位置重要程度重要程度 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 6 页 序号序号机房名称机房名称物理位置物理位置重要程度重要程度 2 2） 网网络络设设备备 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 3 3） 安安全全设设备备 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 4 4） 服服务务器器/ /存存储储设设备备 序号序号设备名称设备名称 操作系统操作系统 /数据库管理系统数据库管理系统 业务应用软件业务应用软件重要程度重要程度 5 5） 终终端端 序号序号设备名称设备名称操作系统操作系统用途用途重要程度重要程度 6 6） 数数据据库库管管理理系系统统 序号序号数据库系统名称数据库系统名称数据库管理系统类型数据库管理系统类型所在设备名称所在设备名称重要程度重要程度 7 7） 业业务务应应用用软软件件 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 7 页 序号序号软件名称软件名称主要功能主要功能开发厂商开发厂商重要程度重要程度 8 8） 访访谈谈人人员员 序号序号姓名姓名岗位岗位/职责职责 9 9） 安安全全管管理理文文档档 序号序号文档名称文档名称主要内容主要内容 3.33.3 测评测评方法方法 4 4单单元元测测评评 4.14.1 物理安全物理安全 4 4. .1 1. .1 1 结结果果汇汇总总 表 4-1 物理安全-单元测评结果汇总表 安全控制点安全控制点 序序 号号 测评测评 对象对象 符合符合 情况情况 物理位物理位 置的选置的选 择择 物理物理 访问访问 控制控制 防盗窃防盗窃 和防破和防破 坏坏 防防 雷雷 击击 防防 火火 防水防水 和防和防 潮潮 防静防静 电电 温湿温湿 度控度控 制制 电力电力 供应供应 电磁电磁 屏蔽屏蔽 1 对象 1 符合 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 8 页 序序 号号 测评测评 对象对象 符合符合 情况情况 安全控制点安全控制点 物理位物理位 置的选置的选 择择 物理物理 访问访问 控制控制 防盗窃防盗窃 和防破和防破 坏坏 防防 雷雷 击击 防防 火火 防水防水 和防和防 潮潮 防静防静 电电 温湿温湿 度控度控 制制 电力电力 供应供应 电磁电磁 屏蔽屏蔽 部分 符合 不符 合 不适 用 4 4. .1 1. .2 2 结结果果分分析析 4.24.2 网络安全网络安全 4 4. .2 2. .1 1 结结果果汇汇总总 4 4. .2 2. .2 2 结结果果分分析析 4.34.3 主机安全主机安全 4 4. .3 3. .1 1 结结果果汇汇总总 4 4. .3 3. .2 2 结结果果分分析析 4.44.4 应用安全应用安全 4 4. .4 4. .1 1 结结果果汇汇总总 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 9 页 4 4. .4 4. .2 2 结结果果分分析析 4.54.5 数据安全及备份恢复数据安全及备份恢复 4 4. .5 5. .1 1 结结果果汇汇总总 4 4. .5 5. .2 2 结结果果分分析析 4.64.6 安全管理制度安全管理制度 4 4. .6 6. .1 1 结结果果汇汇总总 4 4. .6 6. .2 2 结结果果分分析析 4.74.7 安全管理机构安全管理机构 4 4. .7 7. .1 1 结结果果汇汇总总 4 4. .7 7. .2 2 结结果果分分析析 4.84.8 人员安全管理人员安全管理 4 4. .8 8. .1 1 结结果果汇汇总总 4 4. .8 8. .2 2 结结果果分分析析 4.94.9 系统建设管理系统建设管理 4 4. .9 9. .1 1 结结果果汇汇总总 4 4. .9 9. .2 2 结结果果分分析析 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 10 页 4.104.10系统运维管理系统运维管理 4 4. .1 10 0. .1 1结结果果汇汇总总 4 4. .1 10 0. .2 2结结果果分分析析 4.114.11（特殊指标）（特殊指标） 4 4. .1 11 1. .1 1结结果果汇汇总总 4 4. .1 11 1. .2 2结结果果分分析析 4.124.12单元测评小结单元测评小结 4 4. .1 12 2. .1 1控控制制点点符符合合情情况况汇汇总总 表 4-* 单元测评结果分类统计表 符合情况符合情况序序 号号 安全安全 层面层面 安全控制点安全控制点 安全控制安全控制 点得分点得分 符合符合部分符合部分符合不符合不符合不适用不适用 1物理位置的选择 2物理访问控制 3防盗窃和防破坏 4防雷击 5防火 6防水和防潮 7防静电 8温湿度控制 9电力供应 10 物理安全 电磁防护 XXXXXXXXXXX-XXXXX-XX-XXXX-XX2015 版 正文第 11 页 序序 号号 安全安全 层面层面 安全控制点安全控制点 安全控制安全控制 点得分点得分 符合情况符合情况 符合符合部分符合部分符合不符合不符合不适用不适用 统 计 4 4. .1 12 2. .2 2安安全全问问题题汇汇总总 表 4-