《三级等保评测文件》由会员分享,可在线阅读,更多相关《三级等保评测文件(34页珍藏版)》请在金锄头文库上搜索。
1、-信息系统平安等级测评报告模板工程名称:委托单位:测评单位:年 月 日. z.-报告摘要一、测评工作概述概要描述被测信息系统的根本情况可参考信息系统平安等级保护备案表,包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统效劳情况以及定级情况。见:信息系统平安等级保护备案表描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计涉及的测评分类与工程数量,检查的网络互联与平安设备、主机、应用系统、管理文档数量,访谈人员次数。二、等级测评结果依据第4、5章的结果对等级测评结果进展汇总统计测评项符合情况及比例、单元测评结果符合情况比
2、例以及整体测评结果;通过对信息系统根本平安保护状态的分析给出等级测评结论结论为达标、根本达标、不达标。三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常效劳。四、系统平安建立、整改建议针对系统存在的主要问题提出平安建立、整改建议,是对第七章容的提炼和简要描述。. z.-报告根本信息信息系统根本情况系统名称平安保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓 名职务/职称所属部门办公移动电子测评单位单位名称通信地址邮政编码联系人姓 名职务/职称所属部
3、门办公移动电子报告审核批准编制人日期审核人日期批准人日期声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块或子系统都应重新进展测评,本报告不再适用。本报告中给出的结论不能作为对系统相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性根底上。在任何情况下,假设需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进展增加、修改、伪造或掩盖事实。测评单位机构名称 年月. z.-报告目录1测评工程概述11.1测评目的11.2测评依据11.3测评过程11.4报告
4、分发围22被测系统情况32.1根本信息32.2业务应用42.3网络构造42.4系统构成4业务应用软件4关键数据类别4主机/存储设备5网络互联与平安设备5平安相关人员6平安管理文档62.5平安环境63等级测评围与方法73.1测评指标7根本指标7附加指标93.2测评对象9选择方法9选择结果103.3测评方法11现场测评方法11风险分析方法114等级测评容124.1物理平安12结果记录12问题分析12单元测评结果124.2网络平安12结果记录12问题分析14单元测评结果144.3主机平安14结果记录14问题分析15单元测评结果154.4应用平安15结果记录15问题分析15单元测评结果154.5数据平
5、安及备份恢复15结果记录15问题分析15单元测评结果154.6平安管理制度15结果记录15问题分析16单元测评结果164.7平安管理机构16结果记录16问题分析16单元测评结果164.8人员平安管理16结果记录16问题分析16单元测评结果164.9系统建立管理16结果记录16问题分析17单元测评结果174.10系统运维管理17结果记录17问题分析17单元测评结果174.11工具测试17结果记录17问题分析175等级测评结果175.1整体测评17平安控制间平安测评17层面间平安测评18区域间平安测评18系统构造平安测评185.2测评结果185.3统计图表226风险分析和评价226.1平安事件可能
6、性分析226.2平安事件后果分析236.3风险分析和评价237系统平安建立、整改建议257.1物理平安257.2网络平安257.3主机平安257.4应用平安257.5数据平安及备份恢复257.6平安管理制度257.7平安管理机构257.8人员平安管理257.9系统建立管理267.10系统运维管理26附:信息系统平安等级保护备案表. z.-1 测评工程概述1.1 测评目的描述信息系统的重要性:通过描述信息系统的根本情况,包括运营使用单位的性质,承载的主要业务和系统效劳情况,进一步说明其在国家平安、经济建立、社会生活中的重要程度,受到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合
7、法权益的危害程度等。描述等级测评工作的根本情况,包括委托单位、测评单位、测评围及预期如,通过等级测评找出与国家标准要求之间的差距。描述测评报告的用途如,作为后续平安整改的依据。1.2 测评依据开展测评活动所依据的合同、标准和文件: 1) 信息平安等级保护管理方法公通字200743号2) 关于加强国家电子政务工程建立工程信息平安风险评估工作的通知发改高技20212071号 针对国家电子政务工程建立工程有效3) GB/T 22239-2021 信息平安技术 信息系统平安等级保护根本要求4) GB/T 20984-2007 信息平安技术 信息平安风险评估规5) 信息平安技术 信息系统平安等级保护测评
8、要求国标报批稿6) 被测信息系统平安等级保护定级报告7) 等级测评任务书/测评合同等1.3 测评过程描述本次等级测评的工作流程可参考信息系统平安等级保护测评过程指南,具体容包括但不限于:(一) 测评工作流程图(二) 各阶段完成的关键任务(三) 工作的时间节点1.4 报告分发围依据工程需求,明确应交付等级测评报告的数量与分发围如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存。2 被测系统情况2.1 根本信息系统名称 本报告模板针对作为单一定级对象的信息系统制定。主管机构系统承载业务情况业务类型01生产作业 02指挥调度 03管理控制 04部办公 05公众效劳
9、 09其他业务描述系统效劳情况效劳围010全国 011跨省区、市 跨个 020全省区、市 021跨地市、区 跨个030地市、区 099其它效劳对象01单位部人员 02社会公众人员 03两者均包括 09其他系统网络平台覆盖围01局域网02城域网 03广域网 09其他网络性质01业务专网 02互联网 09其它系统互联情况01与其他行业系统连接 02与本行业其他单位系统连接03与本单位其他系统连接 09其它业务信息平安保护等级系统效劳平安保护等级信息系统平安保护等级2.2 业务应用描述信息系统承载的业务应用情况。2.3 网络构造给出被测信息系统的拓扑构造示意图,并基于示意图说明被测信息系统的网络构造
10、根本情况,包括但不限于:(一) 功能/平安区域划分、隔离与防护情况(二) 关键网络和主机设备的部署情况和功能简介(三) 与其他信息系统的互联情况和边界设备(四) 本地备份和灾备中心的情况2.4 系统构成以列表的形式分类描述信息系统的软、硬件构成情况。2.4.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件包括含中间件等应用平台软件,描述工程包括软件名称、主要功能简介和重要程度。序号软件名称主要功能重要程度2.4.2 关键数据类别序号数据类型所属业务应用主机/存储设备重要程度2.4.3 主机/存储设备以列表形式给出被测信息系统中的主机设备包含操作系统和数据库管理系统软件,描述工程包括
11、设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称操作系统/数据库管理系统业务应用软件2.4.4 网络互联与平安设备以列表形式给出被测信息系统中的网络互联及平安设备。设备名称应确保在被测信息系统围的唯一性,建议采取类别-用途/功能/型号-编号可选的三段命名方式。序号设备名称用 途重要程度1路由器_部_1部边界路由重要2路由器_VPN_1远程管理维护重要3路由器_VPN_2远程管理维护重要4防火墙_WEB_1Web区之间访问控制重要2.4.5 平安相关人员以列表形式给出与被测信息系统平安相关的人员,描述工程包括、岗位/角色和联系方式。人员包括但不限于平安主管、系统建立负责
12、人、系统运维负责人、网络平安管理员、主机平安管理员、数据库平安管理员、应用平安管理员、机房管理人员、资产管理员、业务操作员、平安审计人员等。序号岗位/角色联系方式2.4.6 平安管理文档与信息系统平安相关的文档,包括:(一) 管理类文档,如机构总体平安方针和政策方面的管理制度、人员平安教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房平安管理方面的管理制度等;(二) 记录类文档,如设备运行维护记录、会议记录等;(三) 其他类文档,如专家评审意见等。序号文档名称主要容2.5 平安环境描述被测信息系统的运行环境中与平安相关的局部:如数据中心位于运营效劳商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进展威胁赋值,具体容可参考风险评估规。序号威胁分(子)类描述威胁赋值1网络攻击利用工具和技术通过网络对信息系统进展攻击和入侵高3 等级测评围与方法3.1 测评指标测评指标包括根本指标和附加指标两局部,以列表的形式给出。依据定级结果选择根本要求中对应级别的平安要求作为等级测评的根本指标;3.1.1 根本指标根本指标物理和网络子类的例子如下所示:分类子类根本
