信息系统安全等级测评报告模版版概要.docx

1、信息系统安全等级测评报告模版版概要附件：报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系统安全等级测评报告模版（2015年版）系统名称： 委托单位： 测评单位： 报告时间： 年 月 日说明：一、每个备案信息系统单独出具测评报告。二、测评报告编号为四组数据。各组含义和编码规则如下：第一组为信息系统备案表编号，由2段16位数字组成，可以从公安机关颁发的信息系统备案证明（或备案回执）上获得。第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。第二组为年份，由2位数字组成。

2、例如09代表2009年。第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。90为国防科工局，91为电监会，92为教育部。后两位为公安机关或行业主管部门

3、推荐的测评机构顺序号。第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人(签名)编制日期审核人(签名)审核日期批准人(签名)批准日期注：单位代码由受理测评机构备案的公安机关给出。声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作，测评机构

4、可在以下建议内容的基础上增加特殊声明。）本报告是xxx信息系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。单位名称（加盖单位公章）年 月等级测评结论测评结论与综合得分系统名称保护等级系统简

5、介（简要描述被测信息系统承载的业务功能等基本情况。建议不超过400字）测评过程简介（简要描述测评范围和主要内容。建议不超过200字。）测评结论综合得分总体评价根据被测系统测评结果和测评过程中了解的相关信息，从用户角度对被测信息系统的安全保护状况进行评价。例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面分别评价描述信息系统安全保护状况。综合上述评价结果，对信息系统的安全保护状况给出总括性结论。例如：信息系统总体安全保护状况较好。主要安全问题描述被测信息系统存在的主要安全问题及其可能导致的后果。问题处置建议针对系统存在的主

6、要安全问题提出处置建议。1 测评项目概述1.1 测评目的1.2 测评依据列出开展测评活动所依据的文件、标准和合同等。如果有行业标准的，行业标准的指标作为基本指标。报告中的特殊指标属于用户自愿增加的要求项。1.3 测评过程描述等级测评工作流程，包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。1.4 报告分发范围说明等级测评报告正本的份数与分发范围。2 被测信息系统情况参照备案信息简要描述信息系统。2.1 承载的业务情况描述信息系统承载的业务、应用等情况。2.2 网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与

7、防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。2.3 系统资产系统资产包括被测信息系统相关的所有软硬件、人员、数据及文档等。2.3.1 机房以列表形式给出被测信息系统的部署机房。序号机房名称物理位置2.3.2 网络设备以列表形式给出被测信息系统中的网络设备。序号设备名称操作系统品牌型号用途数量（台/套）重要程度2.3.3 安全设备以列表形式给出被测信息系统中的安全设备。序号设备名称操作系统品牌型号用途数量（台/套）重要程度2.3.4 服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括

8、设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。序号设备名称操作系统/数据库管理系统版本业务应用软件数量（台/套）重要程度2.3.5 终端以列表形式给出被测信息系统中的终端，包括业务管理终端、业务终端和运维终端等。序号设备名称操作系统用途数量（台/套）重要程度2.3.6 业务应用软件以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。序号软件名称主要功能开发厂商重要程度2.3.7 关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。序号数据类别所属业务应用安全防护需求重要程度2.3.8 安全相关人员以列表形式

9、给出与被测信息系统安全相关的人员情况。相关人员包括（但不限于）安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。序号姓名岗位/角色联系方式2.3.9 安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、记录类文档和其他文档。序号文档名称主要内容2.4 安全服务序号安全服务名称安全服务商2.5 安全环境威胁评估描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表。序号威胁分(子)类描述2.6 前次测评情况简要描述前次等级测

10、评发现的主要问题和测评结论。3 等级测评范围与方法3.1 测评指标测评指标包括基本指标和特殊指标两部分。3.1.1 基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择基本要求中对应级别的安全要求作为等级测评的基本指标，以表格形式在表3-1中列出。表3-1 基本指标安全层面安全控制点测评项数3.1.2 不适用指标鉴于信息系统的复杂性和特殊性，基本要求的某些要求项可能不适用于整个信息系统，对于这些不适用项应在表后给出不适用原因。表3-2 不适用指标安全层面安全控制点不适用项原因说明3.1.3 特殊指标结合被测评单位要求、被测信息系统的实际安全需求以及安全最佳实践经验，以列表

11、形式给出基本要求（或行业标准）未覆盖或者高于基本要求（或行业标准）的安全要求。安全层面安全控制点特殊要求描述测评项数3.2 测评对象3.2.1 测评对象选择方法依据GB/T 28449-2012信息系统安全等级保护测评过程指南的测评对象确定原则和方法，结合资产重要程度赋值结果，描述本报告中测评对象的选择规则和方法。3.2.2 测评对象选择结果1） 机房序号机房名称物理位置重要程度2） 网络设备序号设备名称操作系统用途重要程度3） 安全设备序号设备名称操作系统用途重要程度4） 服务器/存储设备序号设备名称操作系统/数据库管理系统业务应用软件重要程度5） 终端序号设备名称操作系统用途重要程度6）

12、数据库管理系统序号数据库系统名称数据库管理系统类型所在设备名称重要程度7） 业务应用软件序号软件名称主要功能开发厂商重要程度8） 访谈人员序号姓名岗位/职责9） 安全管理文档序号文档名称主要内容3.3 测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。4 单元测评单元测评内容包括“3.1.1基本指标”以及“3.1.3特殊指标”中涉及的安全层面，内容由问题分析和结果汇总等两个部分构成，详细结果记录及符合程度参见报告附录A。4.1 物理安全4.1.1 结果汇总针对不同安全控制点对单个测评对象在物理安全层面的单项测评结果进行汇总和统计。表4-1物理安全-单元测评结果汇总表序号测评对象

13、符合情况安全控制点物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁屏蔽1对象1符合部分符合不符合不适用4.1.2 结果分析针对物理安全测评结果中存在的符合项加以分析说明，形成被测系统具备的安全保护措施描述。针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析，形成安全问题描述。4.2 网络安全4.2.1 结果汇总针对不同安全控制点对单个测评对象在网络安全层面的单项测评结果进行汇总和统计。4.2.2 结果分析4.3 主机安全4.3.1 结果汇总针对不同安全控制点对单个测评对象在主机安全层面的单项测评结果进行汇总和统计。4.3.2 结果分析4.4

14、应用安全4.4.1 结果汇总4.4.2 结果分析4.5 数据安全及备份恢复4.5.1 结果汇总4.5.2 结果分析4.6 安全管理制度4.6.1 结果汇总4.6.2 结果分析4.7 安全管理机构4.7.1 结果汇总4.7.2 结果分析4.8 人员安全管理4.8.1 结果汇总4.8.2 结果分析4.9 系统建设管理4.9.1 结果汇总4.9.2 结果分析4.10 系统运维管理4.10.1 结果汇总4.10.2 结果分析4.11 （特殊指标）4.11.1 结果汇总4.11.2 结果分析4.12 单元测评小结4.12.1 控制点符合情况汇总根据附录A中测评项的符合程度得分，以算术平均法合并多个测评对

15、象在同一测评项的得分，得到各测评项的多对象平均分。根据测评项权重（参见附件测评项权重赋值表，其他情况的权重赋值另行发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。控制点得分，n为同一控制点下的测评项数，不含不适用的控制点和测评项。以表格形式汇总测评结果，表格以不同颜色对测评结果进行区分，部分符合（安全控制点得分在0分和5分之间，不等于0分或5分）的安全控制点采用黄色标识，不符合（安全控制点得分为0分）的安全控制点采用红色标识。表4-* 单元测评结果分类统计表序号安全层面安全控制点安全控制点得分符合情况符合部分符合不符合不适

16、用1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护统计4.12.2 安全问题汇总针对单元测评结果中存在的部分符合项或不符合项加以汇总，形成安全问题列表并计算其严重程度值。依其严重程度取值为15，最严重的取值为5。安全问题严重程度值是基于对应的测评项权重并结合附录A中对应测评项的符合程度进行的。具体计算公式如下：安全问题严重程度值=（5-测评项符合程度得分）测评项权重。表4-4安全问题汇总表问题编号安全问题测评对象安全层面安全控制点测评项测评项权重问题严重程度值5 整体测评从安全控制间、层面间、区域间和验证测试等方面对单元

17、测评的结果进行验证、分析和整体评价。具体内容参见GB/T 28448信息安全技术信息系统安全等级保护测评要求。5.1 安全控制间安全测评5.2 层面间安全测评5.3 区域间安全测评5.4 验证测试验证测试包括漏洞扫描，渗透测试等，验证测试发现的安全问题对应到相应的测评项的结果记录中。详细验证测试报告见报告附录A。若由于用户原因无法开展验证测试，应将用户签章的“自愿放弃验证测试声明”作为报告附件。5.5 整体测评结果汇总根据整体测评结果，修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分，并形成修改后的安全问题汇总表（仅包括有所修正的安全问题）。可根据整体测评安全控制措施对安全

18、问题的弥补程度将修正因子设为0.50.9。修正后问题严重程度值=修正前的问题严重程度值修正因子。修正后测评项符合程度=5-修正后问题严重程度值/测评项权重表5-1修正后的安全问题汇总表序号问题编号安全问题描述测评项权重整体测评描述修正因子修正后问题严重程度值修正后测评项符合程度6 总体安全状况分析6.1 系统安全保障评估以表格形式汇总被测信息系统已采取的安全保护措施情况，并综合附录A中的测评项符合程度得分以及5.5章节中的修正后测评项符合程度得分（有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算），以算术平均法合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。根据测

19、评项权重（见附件测评项权重赋值表，其他情况的权重赋值另行发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。计算公式为：控制点得分，n为同一控制点下的测评项数，不含不适用的控制点和测评项。以算术平均合并同一安全层面下的所有安全控制点得分，并转换为安全层面的百分制得分。根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全问题情况。表6-1系统安全保障情况得分表序号安全层面安全控制点安全控制点得分安全层面得分1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应1

20、0电磁防护11网络安全结构安全12访问控制13安全审计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19安全标记20访问控制21可信路径22安全审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用安全身份鉴别28安全标记29访问控制30可信路径31安全审计32剩余信息保护33通信完整性34通信保密性35抗抵赖36软件容错37资源控制38数据安全及备份恢复数据完整性39数据保密性40备份和恢复41安全管理制度管理制度42制定和发布43评审和修订44安全管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员安全管理人员录用

21、50人员离岗51人员考核52安全意识教育和培训53外部人员访问管理54系统建设管理系统定级55安全方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64安全服务商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和安全管理中心70网络安全管理71系统安全管理72恶意代码防范管理73密码管理74变更管理75备份与恢复管理76安全事件处置77应急预案管理6.2 安全问题风险评估依据信息安全标准规范，采用风险分析的方法进行危害分析和风险等级判定。针对等级测评结果中存在的所有安全问题，结合关联资产和威胁分别分

22、析安全危害，找出可能对信息系统、单位、社会及国家造成的最大安全危害（损失），并根据最大安全危害严重程度进一步确定信息系统面临的风险等级，结果为“高”、“中”或“低”。并以列表形式给出等级测评发现安全问题以及风险分析和评价情况，参见表6-2。其中，最大安全危害（损失）结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。表6-2信息系统安全问题风险分析表问题编号安全层面问题描述关联资产关联威胁危害分析结果风险等级6.3 等级测评结论综合上述几章节的测评与风险分析结果，根据符合性判别依据给出等级测评结论，并计算信息系统的综合得分。等级测

23、评结论应表述为“符合”、“基本符合”或者“不符合”。结论判定及综合得分计算方式见下表：测评结论符合性判别依据综合得分计算公式符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。，p为总测评项数，不含不适用的控制点和测评项，有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算。不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。，l为安全问题数，p为总测评项数，不含不适用的控制点和测评项。注：修正后问题严重程度赋值结果取多对象中针对同一测评项的最大值。也可根据特殊指标重要程度为其赋予权重，并参照上述方法和综合得分计算公式，得出综合基本指标与特殊指标测评结果的综合得分。7 问题处置建议针对系统存在的安全问题提出处置建议。附录A等级测评结果记录A.1物理安全以表格形式给出物理安全的现场测评结果。符合程度根据被测信息系统实际保护状况进行赋值，完全符合项赋值为5，其他情况根据被测系统在该测评指标的符合程度赋值为04（取整数值）。测评对象安全控制点测评指标结果记录符合程度物理位置的选择物理访问控制