等保测评报告模板..pdf
《等保测评报告模板..pdf》由会员分享,可在线阅读,更多相关《等保测评报告模板..pdf(35页珍藏版)》请在三一文库上搜索。
1、信息系统安全等级测评 报告模板 项目名称: 委托单位: 测评单位: 年月日 测评单位名称 报告摘要- 1 - 报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况(可参考信息系统安全 等级保护备案表) ,包括但不限于: 系统的运营使用单位、投入 运行时间、 承载的业务情况、 系统服务情况以及定级情况。(见 附件:信息系统安全等级保护备案表) 描述等级测评工作的委托单位、测评单位和等级测评工作 的开展过程,包括投入测评人员与设备情况、完成的具体工作 内容统计(涉及的测评分类与项目数量,检查的网络互联与安 全设备、主机、应用系统、管理文档数量,访谈人员次数)。 二、等级测评结果 依据第4、5
2、 章的结果对等级测评结果进行汇总统计(测 评项符合情况及比例、单元测评结果符合情况比例以及整体测 评结果); 通过对信息系统基本安全保护状态的分析给出等级测 评结论(结论为达标、基本达标、不达标)。 三、系统存在的主要问题 依据 6.3 章节的分析结果,列出被测信息系统中存在的主 要问题以及可能造成的后果(如,未部署DDos 防御措施,易 遭受 DDos 攻击,导致系统无法提供正常服务)。 公安部信息安全等级保护评估中心 四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议,是对 第七章内容的提炼和简要描述。 报告基本信息 信息系统基本情况 系统名称安全保护等级 机房位置
3、中心机房 灾备中心 其他机房 委托单位 单位名称 单位地址 邮政编码 联系人 姓名职务 / 职称 所属部门办公电话 移动电话电子邮件 测评单位 单位名称 通信地址 邮政编码 联系人 姓名职务 / 职称 所属部门办公电话 移动电话电子邮件 报告 审核批准 编制人日期 审核人日期 批准人日期 声明 声明是测评单位对于测评报告内容以及用途等有关事项做 出的约定性陈述,包含但不限于以下内容: 本报告中给出的结论仅对目标系统的当时状况有效,当测 评工作完成后系统出现任何变更,涉及到的模块(或子系统) 都应重新进行测评,本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结 论。 本报告结论
4、的有效性建立在用户提供材料的真实性基础 上。 在任何情况下,若需引用本报告中的结果或数据都应保持 其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年月 测评单位名称 报告目录 -I- 报告目录 1测评项目概述 . 1 1.1测评目的 1 1.2测评依据 1 1.3测评过程 1 1.4报告分发范围 2 2被测系统情况 . 3 2.1基本信息 3 2.2业务应用 4 2.3网络结构 4 2.4系统构成 4 2.4.1业务应用软件 4 2.4.2关键数据类别 4 2.4.3主机 / 存储设备 5 2.4.4网络互联与安全设备 5 2.4.5安全相关人员 5 2.4.6安全管
5、理文档 6 2.5安全环境 6 3等级测评范围与方法 7 3.1测评指标 7 3.1.1基本指标 7 3.1.2附加指标 9 3.2测评对象 9 3.2.1选择方法 9 3.2.2选择结果 9 3.3测评方法 11 3.3.1现场测评方法 11 3.3.2风险分析方法 11 测评单位名称 报告目录 -II- 4等级测评内容 12 4.1物理安全 12 4.1.1结果记录 12 4.1.2问题分析 12 4.1.3单元测评结果 12 4.2网络安全 12 4.2.1结果记录 12 4.2.2问题分析 14 4.2.3单元测评结果 14 4.3主机安全 14 4.3.1结果记录 14 4.3.2问
6、题分析 15 4.3.3单元测评结果 15 4.4应用安全 15 4.4.1结果记录 15 4.4.2问题分析 15 4.4.3单元测评结果 15 4.5数据安全及备份恢复. 15 4.5.1结果记录 15 4.5.2问题分析 15 4.5.3单元测评结果 15 4.6安全管理制度 15 4.6.1结果记录 15 4.6.2问题分析 16 4.6.3单元测评结果 16 4.7安全管理机构 16 4.7.1结果记录 16 4.7.2问题分析 16 4.7.3单元测评结果 16 4.8人员安全管理 16 4.8.1结果记录 16 4.8.2问题分析 16 4.8.3单元测评结果 16 4.9系统建
7、设管理 16 4.9.1结果记录 16 4.9.2问题分析 17 4.9.3单元测评结果 17 测评单位名称 报告目录 -III- 4.10 系统运维管理 17 4.10.1结果记录 17 4.10.2问题分析 17 4.10.3单元测评结果 17 4.11 工具测试 17 4.11.1结果记录 17 4.11.2问题分析 17 5等级测评结果 17 5.1整体测评 17 5.1.1安全控制间安全测评 17 5.1.2层面间安全测评 18 5.1.3区域间安全测评 18 5.1.4系统结构安全测评 18 5.2测评结果 18 5.3统计图表 22 6风险分析和评价 22 6.1安全事件可能性分
8、析. 22 6.2安全事件后果分析 23 6.3风险分析和评价 23 7系统安全建设、整改建议 . 25 7.1物理安全 25 7.2网络安全 25 7.3主机安全 25 7.4应用安全 25 7.5数据安全及备份恢复. 25 7.6安全管理制度 25 7.7安全管理机构 25 7.8人员安全管理 26 测评单位名称 报告目录 -IV- 7.9系统建设管理 26 7.10 系统运维管理 26 附:信息系统安全等级保护备案表 测评单位名称2009 版 报告正文第 1 页 / 共 xxx 页 测评项目概述 1 测评目的 描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的 性质,承
9、载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社 会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法 人和其他组织的合法权益的危害程度等。 描述等级测评工作的基本情况, 包括委托单位、测评单位、测评范围及预期(如, 通过等级测评找出与国家标准要求之间的差距)。 描述测评报告的用途(如,作为后续安全整改的依据)。 2 测评依据 开展测评活动所依据的合同、标准和文件: 信息安全等级保护管理办法 (公通字 200743 号) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改 高技20082071 号) 1 GB/T 22239-2008 信息安全
10、技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息安全风险评估规范 信息安全技术信息系统安全等级保护测评要求 (国标报批稿) 被测信息系统安全等级保护定级报告 等级测评任务书 /测评合同等 1 测评过程 描述本次等级测评的工作流程(可参考信息系统安全等级保护测评过程指 南 ) ,具体内容包括但不限于: 测评工作流程图 各阶段完成的关键任务 工作的时间节点 1 针对“国家电子政务工程建设项目”有效 测评单位名称2009 版 报告正文第 2 页 / 共 xxx 页 1 报告分发范围 依据项目需求,明确应交付等级测评报告的数量与分发范围(如本报告一式三 份, 一份提交
11、测评委托单位、 一份提交受理备案的公安机关、 一份由测评单位留存) 。 测评单位名称2009 版 报告正文第 3 页 / 共 xxx 页 被测系统情况 1 基本信息 系统名称 2 主管机构 系统承载 业务情况 业务类型 1 生产作业2 指挥调度3 管理控制 4 内部办公5 公众服务 9 其他 业务描述 系统服务 情况 服务范围 10 全国11 跨省(区、市)跨个 20 全省(区、市)21 跨地(市、区)跨个 30 地(市、区)内 99 其它 服务对象 1 单位内部人员2社会公众人员3 两者均包括 9 其他 系统网络 平台 覆盖范围 1 局域网2城域网3 广域网 9 其他 网络性质 1 业务专网
12、2互联网 9 其它 系统互联 情况 1 与其他行业系统连接2 与本行业其他单位系统连接 3 与本单位其他系统连接 9 其它 业务信息安全保护等级 系统服务安全保护等级 信息系统安全保护等级 2 本报告模板针对作为单一定级对象的信息系统制定。 测评单位名称2009 版 报告正文第 4 页 / 共 xxx 页 2 业务应用 描述信息系统承载的业务应用情况。 3 网络结构 给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络 结构基本情况,包括但不限于: 功能/ 安全区域划分、隔离与防护情况 关键网络和主机设备的部署情况和功能简介 与其他信息系统的互联情况和边界设备 本地备份和灾备中
13、心的情况 1 系统构成 以列表的形式分类描述信息系统的软、硬件构成情况。 1.1 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台 软件) ,描述项目包括软件名称、主要功能简介和重要程度。 序号软件名称主要功能重要程度 1.2 关键数据类别 序号数据类型所属业务应用主机 / 存储设备重要程度 测评单位名称2009 版 报告正文第 5 页 / 共 xxx 页 1.3 主机/ 存储设备 以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统 软件) ,描述项目包括设备名称、 操作系统、数据库管理系统以及承载的业务应用软 件系统。 序号设备名称操作系统
14、 / 数据库管理系统业务应用软件 1.4 网络互联与安全设备 以列表形式给出被测信息系统中的网络互联及安全设备。 设备名称应确保在被测信息系统范围内的唯一性,建议采取类别- 用途 / 功能/ 型号- 编号(可选)的三段命名方式。 序号设备名称用途重要程度 1 路由器 _内部 _1 内部边界路由重要 2 路由器 _VPN_1 远程管理维护重要 3 路由器 _VPN_2 远程管理维护重要 4 防火墙 _WEB_1 Web区之间访问控制重要 1.5 安全相关人员 以列表形式给出与被测信息系统安全相关的人员,描述项目包括姓名、岗位/ 角色和联系方式。 人员包括但不限于安全主管、 系统建设负责人、 系统
15、运维负责人、 测评单位名称2009 版 报告正文第 6 页 / 共 xxx 页 网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全) 管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。 序号姓名岗位 / 角色联系方式 1.6 安全管理文档 与信息系统安全相关的文档,包括: 管理类文档, 如机构总体安全方针和政策方面的管理制度、人员安全教育和培训 方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理 制度等; 记录类文档,如设备运行维护记录、会议记录等; 其他类文档,如专家评审意见等。 序号文档名称主要内容 1 安全环境 描述被测信息系统的运
16、行环境中与安全相关的部分:如数据中心位于运营服务 商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用 户等。 以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行 威胁赋值,具体内容可参考风险评估规范。 序号威胁分 ( 子) 类描述威胁赋值 1 网络攻击 利用工具和技术通过网络对信 息系统进行攻击和入侵 高 测评单位名称2009 版 报告正文第 7 页 / 共 xxx 页 等级测评范围与方法 1 测评指标 测评指标包括基本指标和附加指标两部分,以列表的形式给出。 依据定级结果选择基本要求中对应级别的安全要求作为等级测评的基本指 标; 1.1 基本指标 基本
17、指标(物理和网络子类)的例子如下所示: 分类子类基本要求测评项数 3 物理安全 物 理 位 置 的 选 择 测评物理机房所在的外部环境安全性。 2 物理访问控制 测评进出机房的审批控制手段以及机 房出入口的安全控制情况。 4 防 盗 窃 和 防 破 坏 测评机房内设备和通信线缆的安全性 以及监控报警系统建设情况。 6 防雷击 测评建筑防雷和防感应雷的建设情况。 3 防火 测评自动监控防火系统设置情况以及 机房材料防火情况。 3 防水和防潮 测评机房内水管设置情况、防止结露所 采取的措施以及监控报警系统建设情 况。 4 防静电 测评机房防静电所采取的措施。 3 温湿度控制 测评机房温湿度控制措施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 测评 报告 模板
链接地址:https://www.31doc.com/p-5168913.html