《三级等保评测文件资料资料》由会员分享,可在线阅读,更多相关《三级等保评测文件资料资料(34页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全等级测评报告模板项目名称: 委托单位: 测评单位:报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、 投入 运行时间、承载的业务情况、系统服务情况以及定级情况。(见 附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作 的开展过程,包括投入测评人员与设备情况、完成的具体工作 容统计(涉及的测评分类与项目数量,检查的网络互联与安全 设备、主机、应用系统、管理文档数量,访谈人员次数)。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结
2、果符合情况比例以及整体测评 结果);通过对信息系统基本安全保护状态的分析给由等级测评 结论(结论为达标、基本达标、不达标)。三、系统存在的主要问题依据6.3章节的分析结果,列由被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。四、系统安全建设、整改建议针对系统存在的主要问题提由安全建设、整改建议,是对 第七章容的提炼和简要描述。报告基本信息信息系统基本情况系统名称安全保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓 名职务/职称所属部门办公移动电子测评单位单位名称通信地址邮政编码联系人姓
3、名职务/职称所属部门办公移动电子报告 审核批准编制人日期审核人日期批准人日期声明声明是测评单位对于测评报告容以及用途等有关事项做由 的约定性述,包含但不限于以下容:本报告中给由的结论仅对目标系统的当时状况有效,当测 评工作完成后系统由现任何变更,涉及到的模块(或子系统) 都应重新进行测评,本报告不再适用。本报告中给由的结论不能作为对系统相关产品的测评结 论。本报告结论的有效性建立在用户提供材料的真实性基础 上。在任何情况下,若需引用本报告中的结果或数据都应保持 其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年 月报告目录1 测评项目概述11.1 测评目的 11.2 测评
4、依据 11.3 测评过程 11.4 报告分发围 22 被测系统情况32.1 基本信息 32.2 业务应用 42.3 网络结构 42.4 系统构成 42.4.1 业务应用软件 42.4.2 关键数据类别 42.4.3 主机/存储设备 52.4.4 网络互联与安全设备 52.4.5 安全相关人员 52.4.6 安全管理文档 62.5 安全环境 63 等级测评围与方法73.1 测评指标 73.1.1 基本指标 73.1.2 附加指标 93.2 测评对象 93.2.1 选择方法 93.2.2 选择2果 93.3 测评方法 113.3.1 现场测评方法 113.3.2 风险分析方法 114 等级测评容1
5、24.1 物理安全 124.1.1 结果记录 124.1.2 问题分析 124.1.3 单元测评结果 124.2 网络安全 124.2.1 结果记录 124.2.2 问题分析 144.2.3 单元测评结果 144.3 主机安全 144.3.1 结果记录 144.3.2 问题分析 154.3.3 单元测评结果 154.4 应用安全 154.4.1 结果记录 154.4.2 问题分析 154.4.3 单元测评结果 154.5 数据安全及备份恢复 154.5.1 结果记录 154.5.2 问题分析 154.5.3 单元测评结果 154.6 安全管理制度 154.6.1 结果记录 154.6.2 问题
6、分析 164.6.3 单元测评结果 164.7 安全管理机构 164.7.1 结果记录 164.7.2 问题分析 164.7.3 单元测评结果 164.8 人员安全管理 164.8.1 结果记录 164.8.2 问题分析 164.8.3 单元测评结果 164.9 系统建设管理 164.9.1 结果记录 164.9.2 问题分析 174.9.3 单元测评结果 174.10 系统运维管理 174.10.1 结果记录 174.10.2 问题分析 174.10.3 单元测评结果 174.11 工具测试 174.11.1 结果记录 174.11.2 问题分析 175 等级测评结果175.1 整体测评 1
7、75.1.1 安全控制间安全测评 175.1.2 层面间安全测评 185.1.3 区域间安全测评 185.1.4 系统结构安全测评 185.2 测评结果 185.3 统计图表 226 风险分析和评价226.1 安全事件可能性分析 226.2 安全事件后果分析 236.3 风险分析和评价 237 系统安全建设、整改建议 257.1 物理安全 257.2 网络安全 257.3 主机安全 257.4 应用安全 257.5 数据安全及备份恢复 257.6 安全管理制度 257.7 安全管理机构 267.8 人员安全管理 267.9 系统建设管理 267.10 系统运维管理 26附:信息系统安全等级保护
8、备案表1测评项目概述1.1 测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的 性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社 会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益的危害程度等。描述等级测评工作的基本情况,包括委托单位、测评单位、测评围及预期(如, 通过等级测评找出与国家标准要求之间的差距)。描述测评报告的用途(如,作为后续安全整改的依据)。1.2 测评依据开展测评活动所依据的合同、标准和文件:1)信息安全等级保护管理办法(公通字200743号)2)关于加强国家电子政务工程建设项目信
9、息安全风险评估工作的通知(发改高技20082071号)针对“国家电子政务工程建设项目”有效3) GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求4) GB/T 20984-2007信息安全技术信息安全风险评估规5) 信息安全技术信息系统安全等级保护测评要求(国标报批稿)6) 被测信息系统安全等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程描述本次等级测评的工作流程(可参考信息系统安全等级保护测评过程指南),具体容包括但不限于:(一)测评工作流程图(二)各阶段完成的关键任务(三)工作的时间节点1.4 报告分发围依据项目需求,明确应交付等级测评报告的数量与分发
10、围 (如本报告一式三份, 一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。2被测系统情况2.1 基本信息2系统名称主管机构系统承载 业务情况业务类型1生产作业2指挥调度3管理控制4部办公5公众服务9其他业务描述系统服务 情况服务围10全国11跨省(区、市)跨个20全省(区、市)21跨地(市、区)跨个30地(市、区)99其它服务对象1单位部人员2社会公众人员3两者均包括9其他系统网络 平台覆盖围1局域网2城域网3广域网9其他网络性质1业务专网2互联网9其它系统互联 情况1与其他行业系统连接2与本行业其他单位系统连接3与本单位其他系统连接9其它业务信息安全保护等级系统服务安
11、全保护等级信息系统安全保护等级本报告模板针对作为单一定级对象的信息系统制定。2.2 业务应用描述信息系统承载的业务应用情况。2.3 网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络 结构基本情况,包括但不限于:(一)功能/安全区域划分、隔离与防护情况(二)关键网络和主机设备的部署情况和功能简介(三)与其他信息系统的互联情况和边界设备(四)本地备份和灾备中心的情况2.4 系统构成以列表的形式分类描述信息系统的软、硬件构成情况。2.4.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台 软件),描述项目包括软件名称、主要功能简介和重要程
12、度。序号软件名称主要功能重要程度2.4.2 关键数据类别序号数据类型所属业务应用主机/存储设备重要程度2.4.3 主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统 软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软 件系统。序号设备名称操作系统/数据库管理系统业务应用软件2.4.4 网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。序号设备名称用途重要程度1路由器_部部边界路由重要2路由器_VPN_1远程管理维护重要3路
13、由器_VPN_2远程管理维护重要4防火墙_WEB_1Web区之间访问控制重要2.4.5 安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括、岗位/角色和联系方式。人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管 理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号岗位/角色联系方式2.4.6 安全管理文档与信息系统安全相关的文档,包括:(一)管理类文档,如机构总体安全方针和政策方面的管理制度、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机 房安全管理方面的管理制度等;(二)记录类文档,如设备运行维护记录、会议记录等;(三)其他类文档,如专家评审意见等。序号文档名称主要容2.5 安全环境描述被测信息系统的运行环境中与安全相关的部分:如数据
