《信息系统安全等级测评报告模板》由会员分享,可在线阅读,更多相关《信息系统安全等级测评报告模板(34页珍藏版)》请在金锄头文库上搜索。
1、公安部信息安全等级保护评估中心 信息系统安全等级测评报告模板项目名称: 委托单位: 测评单位: 年 月 日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计
2、(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。报告基本信息信息系统基本情况系统名称安全保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件
3、测评单位单位名称通信地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件报告审核批准编制人日期审核人日期批准人日期声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年 月测评单
4、位名称报告目录1测评项目概述11.1测评目的11.2测评依据11.3测评过程11.4报告分发范围22被测系统情况32.1基本信息32.2业务应用42.3网络结构42.4系统构成42.4.1业务应用软件42.4.2关键数据类别42.4.3主机/存储设备52.4.4网络互联与安全设备52.4.5安全相关人员62.4.6安全管理文档62.5安全环境63等级测评范围与方法73.1测评指标73.1.1基本指标73.1.2附加指标93.2测评对象93.2.1选择方法93.2.2选择结果103.3测评方法113.3.1现场测评方法113.3.2风险分析方法114等级测评内容124.1物理安全124.1.1结
5、果记录124.1.2问题分析124.1.3单元测评结果124.2网络安全124.2.1结果记录124.2.2问题分析144.2.3单元测评结果144.3主机安全144.3.1结果记录144.3.2问题分析154.3.3单元测评结果154.4应用安全154.4.1结果记录154.4.2问题分析154.4.3单元测评结果154.5数据安全及备份恢复154.5.1结果记录154.5.2问题分析154.5.3单元测评结果154.6安全管理制度154.6.1结果记录154.6.2问题分析164.6.3单元测评结果164.7安全管理机构164.7.1结果记录164.7.2问题分析164.7.3单元测评结果
6、164.8人员安全管理164.8.1结果记录164.8.2问题分析164.8.3单元测评结果164.9系统建设管理164.9.1结果记录164.9.2问题分析174.9.3单元测评结果174.10系统运维管理174.10.1结果记录174.10.2问题分析174.10.3单元测评结果174.11工具测试174.11.1结果记录174.11.2问题分析175等级测评结果175.1整体测评175.1.1安全控制间安全测评175.1.2层面间安全测评185.1.3区域间安全测评185.1.4系统结构安全测评185.2测评结果185.3统计图表226风险分析和评价226.1安全事件可能性分析226.2
7、安全事件后果分析236.3风险分析和评价237系统安全建设、整改建议257.1物理安全257.2网络安全257.3主机安全257.4应用安全257.5数据安全及备份恢复257.6安全管理制度257.7安全管理机构257.8人员安全管理257.9系统建设管理267.10系统运维管理26附:信息系统安全等级保护备案表报告目录 -III-测评单位名称2009版1 测评项目概述1.1 测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法
8、人和其他组织的合法权益的危害程度等。描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)。描述测评报告的用途(如,作为后续安全整改的依据)。1.2 测评依据开展测评活动所依据的合同、标准和文件: 1) 信息安全等级保护管理办法(公通字200743号)2) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 针对“国家电子政务工程建设项目”有效3) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求4) GB/T 20984-2007 信息安全技术 信息安全风险评估规范5)
9、 信息安全技术 信息系统安全等级保护测评要求(国标报批稿)6) 被测信息系统安全等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程描述本次等级测评的工作流程(可参考信息系统安全等级保护测评过程指南),具体内容包括但不限于:(一) 测评工作流程图(二) 各阶段完成的关键任务(三) 工作的时间节点1.4 报告分发范围依据项目需求,明确应交付等级测评报告的数量与分发范围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。2 被测系统情况2.1 基本信息系统名称 本报告模板针对作为单一定级对象的信息系统制定。主管机构系统承载业务情况业务类型01生产
10、作业 02指挥调度 03管理控制 04内部办公 05公众服务 09其他 业务描述 系统服务情况服务范围010全国 011跨省(区、市) 跨 个 020全省(区、市) 021跨地(市、区) 跨 个030地(市、区)内 099其它 服务对象01单位内部人员 02社会公众人员 03两者均包括 09其他 系统网络平台覆盖范围01局域网 02城域网 03广域网 09其他 网络性质01业务专网 02互联网 09其它 系统互联情况 01与其他行业系统连接 02与本行业其他单位系统连接03与本单位其他系统连接 09其它 业务信息安全保护等级系统服务安全保护等级信息系统安全保护等级2.2 业务应用描述信息系统承
11、载的业务应用情况。2.3 网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:(一) 功能/安全区域划分、隔离与防护情况(二) 关键网络和主机设备的部署情况和功能简介(三) 与其他信息系统的互联情况和边界设备(四) 本地备份和灾备中心的情况2.4 系统构成以列表的形式分类描述信息系统的软、硬件构成情况。2.4.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。序号软件名称主要功能重要程度2.4.2 关键数据类别序号数据类型所属业务应用主机/存储设备重要程度2.4.3 主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称操作系统/数据库管理系统业务应用软件2.4.4 网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。设备名称应确保在被测信息系统范围内的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。序号设备名称用 途重要程度1路由器_内部_1内部边界路由重要2路由器_VPN_1远程管理维护重要3路由器_VPN_2远程管理维护重要4防火墙_WEB_1Web区之间访问控制重要
