等級(jí)保護(hù)測(cè)評(píng)報(bào)告

1、BG100040報(bào)告編號(hào)：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告系統(tǒng)名稱：委托單位：測(cè)評(píng)單位：報(bào)告時(shí)間：年月日信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護(hù)等級(jí)備案證明編號(hào)測(cè)評(píng)結(jié)論被測(cè)單位單位名稱單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件測(cè)評(píng)單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件審核批準(zhǔn)編制人（簽名）編制日期審核人（簽名）審核日期批準(zhǔn)人（簽名）批準(zhǔn)日期聲明本報(bào)告是xxx信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告。本報(bào)告測(cè)評(píng)結(jié)論的有效性建立在被測(cè)評(píng)單位提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的

2、測(cè)評(píng)結(jié)論僅對(duì)被測(cè)信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。當(dāng)測(cè)評(píng)工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進(jìn)行等級(jí)測(cè)評(píng)，本報(bào)告不再適用。本報(bào)告中給出的測(cè)評(píng)結(jié)論不能作為對(duì)信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測(cè)評(píng)結(jié)論。在任何情況下，若需引用本報(bào)告中的測(cè)評(píng)結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。山東省電子信息產(chǎn)品檢驗(yàn)院等級(jí)測(cè)評(píng)結(jié)論測(cè)評(píng)結(jié)論與綜合得分系統(tǒng)名稱保護(hù)等級(jí)系統(tǒng)簡(jiǎn)介測(cè)評(píng)過(guò)程簡(jiǎn)介測(cè)評(píng)結(jié)論綜合得分總體評(píng)價(jià)主要安全問(wèn)題問(wèn)題處置建議目錄等級(jí)測(cè)評(píng)結(jié)論錯(cuò)誤！未指定書簽。總體1刊介錯(cuò)誤！未指定書簽。主要安全問(wèn)題錯(cuò)誤！未指定書簽。問(wèn)題處置建議

3、錯(cuò)誤！未指定書簽。1 測(cè)評(píng)項(xiàng)目概述錯(cuò)誤！未指定書簽。1.1 測(cè)評(píng)目的錯(cuò)誤！未指定書簽。1.2 測(cè)評(píng)依據(jù)錯(cuò)誤！未指定書簽。1.3 測(cè)評(píng)過(guò)程錯(cuò)誤！未指定書簽。1.4 報(bào)告分發(fā)范圍錯(cuò)誤！未指定書簽。2 被測(cè)信息系統(tǒng)情況12.1 承載的業(yè)務(wù)情況錯(cuò)誤！未指定書簽。2.2 網(wǎng)絡(luò)2構(gòu)錯(cuò)誤！未指定書簽。2.3 系統(tǒng)資產(chǎn)錯(cuò)誤！未指定書簽。2.3.1 機(jī)房錯(cuò)誤！未指定書簽。2.3.2 網(wǎng)絡(luò)設(shè)備錯(cuò)誤！未指定書簽。2.3.3 安全設(shè)備錯(cuò)誤！未指定書簽。2.3.4 服務(wù)器/存儲(chǔ)設(shè)備錯(cuò)誤！未指定書簽。2.3.5 終端錯(cuò)誤！未指定書簽。2.3.6 業(yè)務(wù)應(yīng)用軟件錯(cuò)誤！未指定書簽。2.3.7 關(guān)鍵數(shù)據(jù)類別錯(cuò)誤！未定義書簽。2.

4、3.8 安全相關(guān)人員錯(cuò)誤！未指定書簽。2.3.9 安全管理文檔錯(cuò)誤！未指定書簽。2.4 安全服務(wù)錯(cuò)誤！未指定書簽。3 等級(jí)測(cè)評(píng)范圍與方法3.1 測(cè)評(píng)指標(biāo)3.1.1 基本指標(biāo)3.1.2 不適用指標(biāo)3.1.3 特殊指標(biāo)3.2 測(cè)評(píng)又t象3.2.1 測(cè)評(píng)對(duì)象選擇方法3.2.2 測(cè)評(píng)對(duì)象選擇結(jié)果3.3 測(cè)評(píng)方法4 單元測(cè)評(píng)4.1 物理安全4.1.1 結(jié)果匯總4.1.2 結(jié)果分析4.2 網(wǎng)絡(luò)安全4.2.1 結(jié)果匯總4.2.2 結(jié)果分析4.3 主機(jī)安全4.3.1 結(jié)果匯總4.3.2 結(jié)果分析4.4 應(yīng)用安全4.4.1 結(jié)果匯總4.4.2 結(jié)果分析錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！

5、未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。錯(cuò)誤！未指定書簽。4.5 數(shù)據(jù)安全及備份恢復(fù)錯(cuò)誤！未指定書簽。錯(cuò)誤!未指定書簽錯(cuò)誤！未指定書簽。錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽錯(cuò)誤！未指定書簽。錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽錯(cuò)誤！未指定書簽。錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽IX錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽

6、10錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽錯(cuò)誤！未指定書簽。錯(cuò)誤!未指定書簽錯(cuò)誤!未指定書簽錯(cuò)誤！未指定書簽。4.6 安全管理制度4.6.1 結(jié)果匯總4.6.2 結(jié)果分析4.7 安全管理機(jī)構(gòu)4.7.1 結(jié)果匯總4.7.2 結(jié)果分析4.8 人員安全管理4.8.1 結(jié)果匯總4.8.2 結(jié)果分析4.9 系統(tǒng)建設(shè)管理4.9.1 結(jié)果匯總4.9.2 結(jié)果分析4.10 系統(tǒng)運(yùn)維管理4.10.1 結(jié)果匯總4.10.2 結(jié)果分析4.11 XXXX（特殊指標(biāo)）4.11.1 結(jié)果匯總4.11.2 結(jié)果分析4.12 單元測(cè)評(píng)小結(jié)4.12.1 控制點(diǎn)符合情況匯總4.12.2 安全問(wèn)題匯總5 整體測(cè)評(píng)5.1 安全控制間安全測(cè)

7、評(píng)5.4 驗(yàn)證測(cè)試錯(cuò)誤！未指定書簽5.5 整體測(cè)評(píng)結(jié)果匯總錯(cuò)誤！未指定書簽6 總體安全狀況分析錯(cuò)誤！未指定書簽6.1 系統(tǒng)安全保障評(píng)估錯(cuò)誤！未指定書簽6.2 安全問(wèn)題風(fēng)險(xiǎn)評(píng)估錯(cuò)誤！未指定書簽6.3 等級(jí)測(cè)評(píng)結(jié)論錯(cuò)誤！未指定書簽7 問(wèn)題處置建議錯(cuò)誤！未指定書簽附錄A等級(jí)測(cè)評(píng)結(jié)果記錄錯(cuò)誤！未指定書簽A.1物理安全錯(cuò)誤！未指定書簽A.2網(wǎng)絡(luò)安全錯(cuò)誤！未指定書簽A.3主機(jī)安全錯(cuò)誤！未指定書簽A.4應(yīng)用安全錯(cuò)誤！未指定書簽A.5數(shù)據(jù)安全及備份恢復(fù)錯(cuò)誤！未指定書簽A.6安全管理制度錯(cuò)誤！未指定書簽A.7安全管理機(jī)構(gòu)錯(cuò)誤！未指定書簽A.8人員安全管理錯(cuò)誤！未指定書簽A.9系統(tǒng)建設(shè)管理錯(cuò)誤！未指定書簽A.10

8、系統(tǒng)運(yùn)維管理錯(cuò)誤！未指定書簽A.11xxxX（特殊指標(biāo)安全層面）錯(cuò)誤！未指定書簽A.12驗(yàn)證測(cè)試錯(cuò)誤！未指定書簽1測(cè)評(píng)項(xiàng)目概述1.1 測(cè)評(píng)目的1.2 測(cè)評(píng)依據(jù)1.3 測(cè)評(píng)過(guò)程1.4 報(bào)告分發(fā)范圍2被測(cè)信息系統(tǒng)情況2.1 承載的業(yè)務(wù)情況2.2 網(wǎng)絡(luò)結(jié)構(gòu)2.3 系統(tǒng)資產(chǎn)2.3.1 機(jī)房序號(hào)機(jī)房名稱物理位置2.3.2網(wǎng)絡(luò)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)品牌型號(hào)用途數(shù)量（臺(tái)/套）重要程度序號(hào)設(shè)備名稱操作系統(tǒng)品牌型號(hào)用途數(shù)量（臺(tái)/套）重要程度2.3.3安全設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)品牌型號(hào)用途數(shù)量（臺(tái)/套）重要程度2.3.4服務(wù)器/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)版本業(yè)務(wù)應(yīng)用軟件數(shù)量（臺(tái)/套）重要程度

9、2.3.5終端序號(hào)設(shè)備名稱操作系統(tǒng)用途數(shù)量（臺(tái)/套）重要程度2.3.6業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能開(kāi)發(fā)1商重要程度2.3.7關(guān)鍵數(shù)據(jù)類別序號(hào)數(shù)據(jù)類別所屬業(yè)務(wù)應(yīng)用安全防護(hù)需求重要程度2.3.8安全相關(guān)人員序號(hào)姓名崗位/角色聯(lián)系方式序號(hào)姓名崗位/角色聯(lián)系方式2.3.9安全管理文檔序號(hào)文檔名稱主要內(nèi)容2.4安全服務(wù)序號(hào)安全服務(wù)名稱安全服務(wù)商2.5安全環(huán)境威脅評(píng)估序號(hào)威脅分（子）類描述3等級(jí)測(cè)評(píng)范圍與方法3.1 測(cè)評(píng)指標(biāo)3.1.1 基本指標(biāo)表3-1基本指標(biāo)安全層面安全控制點(diǎn)測(cè)評(píng)項(xiàng)數(shù)3.1.2不適用指標(biāo)表3-2不適用指標(biāo)安全層面安全控制點(diǎn)不適用項(xiàng)原因說(shuō)明3.1.3特殊指標(biāo)安全層面安全控制點(diǎn)特殊要求描

10、述測(cè)評(píng)項(xiàng)數(shù)3.2測(cè)評(píng)對(duì)象3.2.2測(cè)評(píng)對(duì)象選擇結(jié)果1）機(jī)房序號(hào)機(jī)房名稱物理位置重要程度2）網(wǎng)絡(luò)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度3）安全設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度4）服務(wù)器/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件重要程度5）終端序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度6）數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)數(shù)據(jù)庫(kù)系統(tǒng)名稱數(shù)據(jù)庫(kù)管理系統(tǒng)類型所在設(shè)備名稱重要程度7）業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能開(kāi)發(fā)1商重要程度8）訪談人員序號(hào)姓名崗位/職責(zé)9）安全管理文檔序號(hào)文檔名稱主要內(nèi)容3.3測(cè)評(píng)方法4單元測(cè)評(píng)4.1 物理安全4.1.1 結(jié)果匯總表4-1物理安全-單元測(cè)評(píng)

11、結(jié)果匯總表序號(hào)測(cè)評(píng)對(duì)象符合情況安全控制點(diǎn)物理位置的選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁屏蔽1對(duì)象1符合部分符合不符合不適用4.1.2結(jié)果分析4.2 網(wǎng)絡(luò)安全4.2.1 結(jié)果匯總4.2.2 結(jié)果分析4.3 主機(jī)安全4.3.1 結(jié)果匯總1.1.1 結(jié)果匯總1.1.2 結(jié)果分析4.5 數(shù)據(jù)安全及備份恢復(fù)4.5.1 結(jié)果匯總4.5.2 結(jié)果分析4.6 安全管理制度4.6.1 結(jié)果匯總4.6.2 結(jié)果分析4.7 安全管理機(jī)構(gòu)4.7.1 結(jié)果匯總4.7.2 結(jié)果分析4.8 人員安全管理4.8.1 結(jié)果匯總4.8.2 結(jié)果分析4.9 系統(tǒng)建設(shè)管理4.10 系統(tǒng)運(yùn)維管

12、理4.10.1 結(jié)果匯總4.10.2 結(jié)果分析4.11 XXXX（特殊指標(biāo)）4.11.1 結(jié)果匯總4.11.2 結(jié)果分析4.12 單元測(cè)評(píng)小結(jié)4.12.1 控制點(diǎn)符合情況匯總表4-*單元測(cè)評(píng)結(jié)果分類統(tǒng)計(jì)表序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分符合情況符合部分符合不符合不適用1物理安全物理位置的選擇2物理訪問(wèn)控制3防盜竊和防破壞4防雷擊序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分符合情況符合部分符合不符合不適用5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護(hù)統(tǒng)計(jì)4.12.2 安全問(wèn)題匯總表4-4安全問(wèn)題匯總表問(wèn)題編號(hào)安全問(wèn)題測(cè)評(píng)對(duì)象安全層面安全控制點(diǎn)測(cè)評(píng)項(xiàng)測(cè)評(píng)項(xiàng)權(quán)重問(wèn)題嚴(yán)重程度值5整體測(cè)評(píng)5.

13、1 安全控制間安全測(cè)評(píng)5.2 層面間安全測(cè)評(píng)5.3 區(qū)域間安全測(cè)評(píng)5.4 驗(yàn)證測(cè)試5.5 整體測(cè)評(píng)結(jié)果匯總表5-1修正后的安全問(wèn)題匯總表修正后修正后序問(wèn)題安全問(wèn)題描測(cè)評(píng)項(xiàng)整體測(cè)修正問(wèn)題嚴(yán)測(cè)評(píng)項(xiàng)號(hào)述權(quán)重評(píng)描述因子重程度符合程值度6總體安全狀況分析6.1 系統(tǒng)安全保障評(píng)估表6-1系統(tǒng)安全保障情況得分表序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分1物理安全物理位置的選擇2物理訪問(wèn)控制3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護(hù)11網(wǎng)絡(luò)安全結(jié)構(gòu)安全12訪問(wèn)控制13安全審計(jì)14邊界完整性檢查15入侵防范16惡意代

14、碼防范17網(wǎng)絡(luò)設(shè)備防護(hù)18主機(jī)安全身份鑒別19安全標(biāo)記序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分20訪問(wèn)控制21可信路徑22安全審計(jì)23剩余信息保護(hù)24入侵防范25惡意代碼防范26資源控制27身份鑒別28安全標(biāo)記29訪問(wèn)控制30可信路徑31安全審計(jì)32用安剩余信息保護(hù)33全通信完整性34通信保密性35抗抵賴36軟件容錯(cuò)37資源控制38備及4占數(shù)據(jù)完整性序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分39數(shù)據(jù)保密性40備份和恢復(fù)41安全管理制度42管理制定和發(fā)布43市U度評(píng)審和修訂44崗位設(shè)置45安人員配備46管理授權(quán)和審批477弓溝通和合作48審核和檢查49人員錄用50人員離崗人51*人員考核全管安全意識(shí)教育和培52訓(xùn)53外部人員訪問(wèn)管理54系統(tǒng)定級(jí)55建設(shè)安全方某設(shè)計(jì)56管理產(chǎn)品采購(gòu)和使用序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分57自行軟件開(kāi)發(fā)58外包軟件開(kāi)發(fā)59工程實(shí)施60測(cè)試驗(yàn)收61系統(tǒng)交付62系統(tǒng)備案63等級(jí)測(cè)評(píng)64安全服務(wù)商選擇65系統(tǒng)運(yùn)維管理環(huán)境管理66資產(chǎn)管理67介質(zhì)管理68設(shè)備管理69監(jiān)控管理和安全管理中心7071網(wǎng)絡(luò)安全管理系統(tǒng)安全管理72惡意代碼防范管理7374密碼管理變更管理序號(hào)安全層面安全控制點(diǎn)安全控制點(diǎn)得分安全層面得分75備份與恢復(fù)管理76安全事件處置77應(yīng)急預(yù)案