XX信息系统安全等级测评报告(模板).doc

XX系统安全等级测评报告 XX部门 20XX年X月 目 录 1. 等级测评结论 2 2. 总体评价 2 3. 主要安全问题 2 4. 问题处置建议 2 5. 测评工作概述 3 5.1. 测评目的 3 5.2. 测评依据 3 5.3. 测评过程 3 6. 被测系统情况 3 6.1. 基本信息 3 6.2. 业务应用 3 6.3. 网络结构 3 6.4. 系统构成 4 6.5. 安全服务 4 6.6. 安全环境威胁评估 4 7. 等级测评范围与方法 4 7.1. 测评指标 4 7.2. 测评对象 4 7.3. 测评方法 4 8. 单元测评 5 9. 整体测评 5 10. 总体安全状况分析 5 附录-等级测评结果记录 5 信息系统等级测评基本信息表 信息系统 系统名称 安全保护等级 备案证明编号 测评结论 被测单位 单位名称 单位地址 邮政编码 联系人 姓名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 单位代码 通信地址 邮政编码 联系人 姓名 职务/职称 所属部门 办公电话 移动电话 电子邮件 审核批准 编制人 (签名) 编制日期 审核人 (签名) 审核日期 批准人 (签名) 批准日期 1. 等级测评结论 描述等级测评总体结论。根据符合性判别依据给出等级测评结论，并计算信息系统的综合得分。等级测评结论应表述为“符合”、“基本符合”或者“不符合”，参考示例如下： 测评结论与综合得分 系统名称 保护等级 系统简介 （简要描述被测信息系统承载的业务功能等基本情况。建议不超过400字） 测评过程简介 （简要描述测评范围和主要内容。建议不超过200字。） 测评结论 综合得分 1. 2. 2. 总体评价 根据被测系统测评结果和测评过程中了解的相关信息，对被测信息系统的安全保护状况进行评价。例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面分别评价描述信息系统安全保护状况。 综合上述评价结果，对信息系统的安全保护状况给出总括性结论。例如：信息系统总体安全保护状况较好。 3. 主要安全问题 描述被测信息系统存在的主要安全问题及其可能导致的后果。 4. 问题处置建议 针对系统存在的主要安全问题提出处置建议。 5. 测评工作概述 1. 2. 3. 4. 5. 5.1. 测评目的 描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。 描述等级测评工作的基本情况，包括委托单位、测评单位、测评范围及预期。 5.2. 测评依据 开展测评活动所依据的合同、标准和文件。 5.3. 测评过程 描述本次等级测评的工作流程，具体内容包括但不限于：测评工作流程图、各阶段完成的关键任务、工作的时间节点。 6. 被测系统情况 6.1. 基本信息 描述被测信息系统的基本情况，包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。 6.2. 业务应用 描述信息系统承载的业务应用情况。 6.3. 网络结构 给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况。 6.4. 系统构成 以列表的形式分类描述信息系统软、硬件以及相关文档的构成情况。 6.5. 安全服务 描述安全服务情况，包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。 6.6. 安全环境威胁评估 描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表。 7. 等级测评范围与方法 7.1. 测评指标 测评指标包括基本指标和特殊指标两部分，以列表的形式给出。 7.2. 测评对象 描述本次等级测评中采用的测评对象选择方法和具体规则，通常采用抽查的方法，兼顾类别与数量。 测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾工作投入与结果产出两者的平衡关系。其中，主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定；机房、介质 和管理文档不需要抽样。 7.3. 测评方法 描述本次等级测评工作中采用的测评方法。 现场测评方法主要包括访谈、检查和测试等三类，可细分为人员访谈、文档审查、配置核查、现场观测和工具测试等。如果采用工具测试，应给出工具接入示意图，并对测评工具的接入点和预期的测试路径进行描述。 8. 单元测评 以表格形式分别给出各单元测评对象的现场测评结果汇总信息。针对各单元测评结果中存在的符合项加以分析说明，形成被测系统具备的安全保护措施描述。各单元测评对象包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理以及特殊指标。 9. 整体测评 描述安全控制间、层面间、区域间和验证测试等方面测评结果汇总信息。 10. 总体安全状况分析 汇总测评的结果，分析信息系统中存在的主要问题，对这些问题进行系统整体测评分析，包括从安全控制间、层面间、区域间和系统结构等方面进行安全测评。 对整体测评后的等级测评结果基于安全子类进行汇总，并以表格形式进行展示。 附录-等级测评结果记录 以表格形式给出各单元测评对象的现场测评结果。符合程度根据被测信息系统实际保护状况进行赋值，完全符合项赋值为5，其他情况根据被测系统在该测评指标的符合程度赋值为0~4（取整数值）。参考示例如下： 测评对象 安全控制点 测评指标 结果记录 符合程度 … 物理位置的选择 … … … … … … 物理访问控制 … … … … … … … … … … … …