1、报告基本信息信息系统基本情况系统名称安全保护等级机房位置中心机房灾备中心其他机房委托单位单位名称单位地址邮政编码联系人姓 名职务/职称所属部门办公电话移动电话电子邮件测评单位通信地址报告审核批准编制人日期审核人批准人声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下,若需引用本报告中的结果或数据都应保
2、持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年 月报告目录1 测评项目概述测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)。描述测评报告的用途(如,作为后续安全整改的依据)。测评依据开展测评活动所依据的合同、标准和文件:1) 信息安全等级保护管理
3、办法(公通字200743号)2) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)3) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求4) GB/T 20984-2007 信息安全技术 信息安全风险评估规范5) 信息安全技术 信息系统安全等级保护测评要求(国标报批稿)6) 被测信息系统安全等级保护定级报告7) 等级测评任务书/测评合同等测评过程描述本次等级测评的工作流程(可参考信息系统安全等级保护测评过程指南),具体内容包括但不限于:(一) 测评工作流程图(二) 各阶段完成的关键任务(三) 工作的时间节点报告分发范围依据项目需
4、求,明确应交付等级测评报告的数量与分发范围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。2 被测系统情况基本信息主管机构系统承载业务情况业务类型1生产作业 2指挥调度 3管理控制 4内部办公 5公众服务 9其他 业务描述 系统服务情况服务范围10全国 11跨省(区、市) 跨 个 20全省(区、市) 21跨地(市、区) 跨 个30地(市、区)内 99其它 服务对象1单位内部人员 2社会公众人员 3两者均包括 系统网络平台覆盖范围1局域网 2城域网 3广域网 网络性质1业务专网 2互联网 9其它 系统互联情况 1与其他行业系统连接 2与本行业其他单位系
5、统连接3与本单位其他系统连接 业务信息安全保护等级系统服务安全保护等级信息系统安全保护等级业务应用描述信息系统承载的业务应用情况。网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:(一) 功能/安全区域划分、隔离与防护情况(二) 关键网络和主机设备的部署情况和功能简介(三) 与其他信息系统的互联情况和边界设备(四) 本地备份和灾备中心的情况系统构成以列表的形式分类描述信息系统的软、硬件构成情况。2.1.1 业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。序
6、号软件名称主要功能重要程度2.1.2 关键数据类别数据类型所属业务应用主机/存储设备2.1.3 主机/存储设备以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。设备名称操作系统/数据库管理系统业务应用软件2.1.4 网络互联与安全设备以列表形式给出被测信息系统中的网络互联及安全设备。设备名称应确保在被测信息系统范围内的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。用 途1路由器_内部_1内部边界路由重要2路由器_VPN_1远程管理维护3路由器_VPN_24防火墙_WEB_1
7、Web区之间访问控制2.1.5 安全相关人员以列表形式给出与被测信息系统安全相关的人员,描述项目包括姓名、岗位/角色和联系方式。人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。姓名岗位/角色联系方式2.1.6 安全管理文档与信息系统安全相关的文档,包括:(一) 管理类文档,如机构总体安全方针和政策方面的管理制度、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;(二) 记录类文档,如设备运行维护记录、会
8、议记录等;(三) 其他类文档,如专家评审意见等。文档名称主要内容安全环境描述被测信息系统的运行环境中与安全相关的部分:如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体内容可参考风险评估规范。威胁分(子)类描述威胁赋值网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵高3 等级测评范围与方法测评指标测评指标包括基本指标和附加指标两部分,以列表的形式给出。依据定级结果选择基本要求中对应级别的安全要求作为等级测评的基本指标;3.1.1 基本指标基本指标(物理和网络
9、子类)的例子如下所示:分类子类基本要求测评项数物理安全物理位置的选择测评物理机房所在的外部环境安全性。物理访问控制测评进出机房的审批控制手段以及机房出入口的安全控制情况。防盗窃和防破坏测评机房内设备和通信线缆的安全性以及监控报警系统建设情况。6防雷击测评建筑防雷和防感应雷的建设情况。防火测评自动监控防火系统设置情况以及机房材料防火情况。防水和防潮测评机房内水管设置情况、防止结露所采取的措施以及监控报警系统建设情况。防静电测评机房防静电所采取的措施。温湿度控制测评机房温湿度控制措施电力供应测评电力线路、备用电源以及发电机的配备情况。电磁防护测评线缆电磁防护手段和设备电磁防护手段。网络安全结构安全
10、主要核查:主要网络设备的处理能力、业务高峰期需求带宽、路由控制、网络拓扑结构图是否一致、子网划分、技术隔离手段和带宽分配策略。7访问控制访问控制功能、协议深层检测、网络连接超时、流量限制和并发连接数限制等等。安全审计网络设备日志收集、分析和统计以及保护等等。边界完整性检查是否能够对非授权设备私自联到内部网络的行为进行检查并准确定位和阻断;是否能够对内部网络用户私自联到外部网络的行为进行检查并准确定位和阻断。入侵防范部署IDS系统以及使用情况。恶意代码防范是否有完整的防病毒体系以及代码库的升级情况。网络设备防护用户身份鉴别、管理员登录地址限制、用户标识唯一性、组合鉴别技术、口令策略、登录策略、远
11、程管理和权限分离。93.1.2 附加指标参照基本指标的表述模式以列表形式给出附加指标。附加指标包括但不限于:1) 行业标准/规范的具体指标2) 主管部门的规定的具体指标3) 信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体指标附加要求测评对象3.1.3 测评对象选择方法描述本次等级测评中采用的测评对象选择方法和具体规则,通常采用抽查的方法,兼顾类别与数量。测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾工作投入与结果产出两者的平衡关系。其中,主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定;机房、介质和管理文档不需要抽样。具体方法和规则可参考
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1