信息安全信息系統(tǒng)等級(jí)保護(hù)測(cè)試報(bào)告模板

1、公安部信息安全等級(jí)保護(hù)評(píng)估中心報(bào)告編號(hào)：(XXXXXXXXXXX-XX-XXXX-XX)信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）系統(tǒng)名稱：被測(cè)單位：測(cè)評(píng)單位：報(bào)告時(shí)間：年 月 日說(shuō)明：一、每個(gè)備案信息系統(tǒng)單獨(dú)出具測(cè)評(píng)報(bào)告。二、測(cè)評(píng)報(bào)告編號(hào)為四組數(shù)據(jù)。各組含義和編碼規(guī)則如下：第一組為信息系統(tǒng)備案表編號(hào)，由11位數(shù)字組成，可以從公安機(jī) 關(guān)頒發(fā)的信息系統(tǒng)備案證明（或備案回執(zhí)）上獲得，即證書編號(hào)的前11 位（前6位為受理備案公安機(jī)關(guān)代碼，后5位為受理備案的公安機(jī)關(guān)給 出的備案單位的順序編號(hào)）。第二組為年份，由2位數(shù)字組成。例如09代表2009年。第三組為測(cè)評(píng)機(jī)構(gòu)代碼，由四位數(shù)字組成。前兩位為省級(jí)行政區(qū)劃

2、數(shù)字代碼的前兩位或行業(yè)主管部門編號(hào)：00為公安部，11為北京，12 為天津，13為河北，14為山西，15為內(nèi)蒙古，21為遼寧，22為吉林， 23為黑龍江，31為上海，32為江蘇，33為浙江，34為安徽，35為福 建，36為江西，37為山東，41為河南，42為湖北，43為湖南，44為 廣東，45為廣西，46為海南，50為重慶，51為四川，52為貴州，53 為云南，54為西藏，61為陜西，62為甘肅，63為青海，64為寧夏，65 為新疆，66為新疆兵團(tuán)。90為國(guó)防科工局，91為電監(jiān)會(huì)，92為教育部。 后兩位為公安機(jī)關(guān)或行業(yè)主管部門推薦的測(cè)評(píng)機(jī)構(gòu)順序號(hào)。第四組為本年度信息系統(tǒng)測(cè)評(píng)次數(shù)，由兩位構(gòu)成。例

3、如02表示該 信息系統(tǒng)本年度測(cè)評(píng)2次。信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護(hù)等級(jí)備案證明編號(hào)測(cè)評(píng)結(jié)論被測(cè)單位單位名稱單位地址郵政編碼聯(lián)系人姓 名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件測(cè)評(píng)單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓 名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件審核批準(zhǔn)編制人（簽名）編制日期審核人（簽名）審核日期批準(zhǔn)人（簽名）批準(zhǔn)日期注：?jiǎn)挝淮a由受理測(cè)評(píng)機(jī)構(gòu)備案的公安機(jī)關(guān)給出。聲明（聲明是測(cè)評(píng)機(jī)構(gòu)對(duì)測(cè)評(píng)報(bào)告的有效性前提、測(cè)評(píng)結(jié)論的適用范圍以及使用方 式等有關(guān)事項(xiàng)的陳述。針對(duì)特殊情況下的測(cè)評(píng)工作，測(cè)評(píng)機(jī)構(gòu)可在以下建議內(nèi)容的 基礎(chǔ)上增加特殊聲明。）本報(bào)告是xxx信息

4、系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告。本報(bào)告測(cè)評(píng)結(jié)論的有效性建立在被測(cè)評(píng)單位提供相關(guān)證據(jù) 的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的測(cè)評(píng)結(jié)論僅對(duì)被測(cè)信息系統(tǒng)當(dāng)時(shí)的安全狀 態(tài)有效。當(dāng)測(cè)評(píng)工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到 的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進(jìn)行等級(jí)測(cè)評(píng)，本報(bào)告 不再適用。本報(bào)告中給出的測(cè)評(píng)結(jié)論不能作為對(duì)信息系統(tǒng)內(nèi)部署的相 關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測(cè)評(píng)結(jié)論。在任何情況下，若需引用本報(bào)告中的測(cè)評(píng)結(jié)果或結(jié)論都應(yīng) 保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽 造或掩蓋事實(shí)。目錄信息系統(tǒng)等級(jí)測(cè)評(píng)基本信息表聲明 TOC o 1-5 h z HYPERLINK l bookmark88 o Curren

5、t Document 報(bào)告摘要I HYPERLINK l bookmark91 o Current Document 測(cè)評(píng)項(xiàng)目概述1測(cè)評(píng)目的1測(cè)評(píng)依據(jù)1 HYPERLINK l bookmark98 o Current Document 測(cè)評(píng)過(guò)程1 HYPERLINK l bookmark101 o Current Document 報(bào)告分發(fā)范圍1 HYPERLINK l bookmark104 o Current Document 被測(cè)信息系統(tǒng)情況2 HYPERLINK l bookmark107 o Current Document 承載的業(yè)務(wù)情況2 HYPERLINK l bookmar

6、k110 o Current Document 網(wǎng)絡(luò)結(jié)構(gòu)2 HYPERLINK l bookmark113 o Current Document 系統(tǒng)構(gòu)成2業(yè)務(wù)應(yīng)用軟件2關(guān)鍵數(shù)據(jù)類別2主機(jī)/存儲(chǔ)設(shè)備3網(wǎng)絡(luò)互聯(lián)設(shè)備3 HYPERLINK l bookmark116 o Current Document 安全設(shè)備3安全相關(guān)人員3安全管理文檔4 HYPERLINK l bookmark119 o Current Document 安全環(huán)境4 HYPERLINK l bookmark122 o Current Document 前次測(cè)評(píng)情況4 HYPERLINK l bookmark125 o Cur

7、rent Document 等級(jí)測(cè)評(píng)范圍與方法4 HYPERLINK l bookmark128 o Current Document 測(cè)評(píng)指標(biāo)4 HYPERLINK l bookmark131 o Current Document 基本指標(biāo)5特殊指標(biāo)5 HYPERLINK l bookmark134 o Current Document 測(cè)評(píng)對(duì)象5測(cè)評(píng)對(duì)象選擇方法;5測(cè)評(píng)對(duì)象選擇結(jié)果5 HYPERLINK l bookmark142 o Current Document 測(cè)評(píng)方法7 HYPERLINK l bookmark145 o Current Document 單元測(cè)評(píng)8物理安全8 H

8、YPERLINK l bookmark158 o Current Document 結(jié)果記錄8 HYPERLINK l bookmark162 o Current Document 結(jié)果匯總8 HYPERLINK l bookmark166 o Current Document 問(wèn)題分析8網(wǎng)絡(luò)安全9 HYPERLINK l bookmark170 o Current Document 結(jié)果記錄9 HYPERLINK l bookmark174 o Current Document 結(jié)果匯總9 HYPERLINK l bookmark178 o Current Document 問(wèn)題分析9主機(jī)安

9、全9 HYPERLINK l bookmark197 o Current Document 結(jié)果記錄9 HYPERLINK l bookmark200 o Current Document 結(jié)果匯總9 HYPERLINK l bookmark182 o Current Document 問(wèn)題分析9應(yīng)用安全9結(jié)果記錄 9 HYPERLINK l bookmark152 o Current Document 結(jié)果匯總 9 HYPERLINK l bookmark186 o Current Document 問(wèn)題分析 9數(shù)據(jù)安全及備份恢復(fù)9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmar

10、k190 o Current Document 問(wèn)題分析 9安全管理制度9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmark194 o Current Document 問(wèn)題分析9安全管理機(jī)構(gòu)9結(jié)果記錄9結(jié)果匯總9 HYPERLINK l bookmark203 o Current Document 問(wèn)題分析9人員安全管理10結(jié)果記錄10結(jié)果匯總10 HYPERLINK l bookmark155 o Current Document 問(wèn)題分析 10系統(tǒng)建設(shè)管理10結(jié)果記錄 10結(jié)果匯總 10問(wèn)題分析 10系統(tǒng)運(yùn)維管理10結(jié)果記錄 10結(jié)果匯總 10問(wèn)題分析 10 HYPERLIN

11、K l bookmark206 o Current Document 整體測(cè)評(píng)11安全控制間安全測(cè)評(píng)11層面間安全測(cè)評(píng)11區(qū)域間安全測(cè)評(píng)11系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)11 HYPERLINK l bookmark209 o Current Document 測(cè)評(píng)結(jié)果匯總12 HYPERLINK l bookmark212 o Current Document 風(fēng)險(xiǎn)分析和評(píng)價(jià)13 HYPERLINK l bookmark222 o Current Document 等級(jí)測(cè)評(píng)結(jié)論14 HYPERLINK l bookmark225 o Current Document 安全建設(shè)整改建議15報(bào)告摘要（建議不超

12、過(guò)800字）簡(jiǎn)要描述被測(cè)信息系統(tǒng)的名稱、安全等級(jí)、承載的業(yè)務(wù)等 基本情況。簡(jiǎn)要描述測(cè)評(píng)范圍和主要內(nèi)容。簡(jiǎn)要描述測(cè)評(píng)指標(biāo)的符合性情況，給出測(cè)評(píng)結(jié)論（包括符 合、基本符合和不符合）。簡(jiǎn)要描述測(cè)評(píng)中發(fā)現(xiàn)的主要問(wèn)題和危害，并提出安全建設(shè) 整改建議。1測(cè)評(píng)項(xiàng)目概述1.1測(cè)評(píng)目的1.2測(cè)評(píng)依據(jù)列出開展測(cè)評(píng)活動(dòng)所依據(jù)的文件、標(biāo)準(zhǔn)和合同等。1.3測(cè)評(píng)過(guò)程描述等級(jí)測(cè)評(píng)工作流程，包括測(cè)評(píng)工作流程圖、各階段完成的關(guān)鍵任務(wù)和工作 的時(shí)間節(jié)點(diǎn)等內(nèi)容。1.4報(bào)告分發(fā)范圍說(shuō)明等級(jí)測(cè)評(píng)報(bào)告正本的份數(shù)與分發(fā)范圍。2被測(cè)信息系統(tǒng)情況參照備案信息簡(jiǎn)要描述信息系統(tǒng)。2.1承載的業(yè)務(wù)情況描述信息系統(tǒng)承載的業(yè)務(wù)、應(yīng)用等情況。2.2網(wǎng)絡(luò)結(jié)

13、構(gòu)給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò) 結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的 部署情況和功能簡(jiǎn)介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備 中心的情況。2.3系統(tǒng)構(gòu)成2.3.1業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。1依據(jù)信息系統(tǒng)安全等級(jí)測(cè)評(píng)過(guò)程指南判定2.3.3主機(jī)/存儲(chǔ)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的主機(jī)設(shè)備，描述主機(jī)設(shè)備的項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號(hào)設(shè)備名稱操作系統(tǒng)數(shù)據(jù)

14、庫(kù)管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件 2.3.4網(wǎng)絡(luò)互聯(lián)設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)互聯(lián)設(shè)備。序號(hào)設(shè)備名稱用途重要程度 2.3.5安全設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的安全設(shè)備。序號(hào)設(shè)備名稱用途重要程度 2.3.6安全相關(guān)人員以列表形式給出與被測(cè)信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限 于）安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安 全）管理員、數(shù)據(jù)庫(kù)（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn) 管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。序號(hào)姓名崗位/角色聯(lián)系方式 序號(hào)姓名崗位/角色聯(lián)系方式2.3.7安全管理文檔以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管

15、理類文檔、記錄類文檔和 其他文檔。序號(hào)文檔名稱主要內(nèi)容 2.4安全環(huán)境描述被測(cè)信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分，并以列表形式給出被測(cè)信 息系統(tǒng)的威脅列表并賦值。威脅賦值是基于歷史統(tǒng)計(jì)或者行業(yè)判斷進(jìn)行的，具體內(nèi) 容可參考風(fēng)險(xiǎn)評(píng)估規(guī)范。序號(hào)威脅分（子）類描述威脅賦值 2.5前次測(cè)評(píng)情況簡(jiǎn)要描述前次等級(jí)測(cè)評(píng)發(fā)現(xiàn)的主要問(wèn)題和測(cè)評(píng)結(jié)論。3等級(jí)測(cè)評(píng)范圍與方法3.1測(cè)評(píng)指標(biāo)測(cè)評(píng)指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分。3.1.1基本指標(biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選擇基 本要求中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指標(biāo)。鑒于信息系統(tǒng)的復(fù)雜性和特殊性（如某些信息系統(tǒng)未部署數(shù)據(jù)庫(kù)服

16、務(wù)器），基本結(jié)合行業(yè)和系統(tǒng)的實(shí)際，以列表形式給出基本要求未覆蓋或者高于基本要求的安全要求。安全分類安全子類特殊要求描述測(cè)評(píng)項(xiàng)數(shù) 3.2測(cè)評(píng)對(duì)象3.2.1測(cè)評(píng)對(duì)象選擇方法描述測(cè)評(píng)對(duì)象的選擇規(guī)則和方法。3*2*2測(cè)評(píng)對(duì)象選擇結(jié)果1）機(jī)房序號(hào)機(jī)房名稱物理位置1安全分類對(duì)應(yīng)基本要求中的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制 度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等10個(gè)安全要求類別。2安全子類是對(duì)安全分類的進(jìn)一步細(xì)化，在基本要求目錄級(jí)別中對(duì)應(yīng)安全分類的下一級(jí)目錄。2）業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能 3）主機(jī)（存儲(chǔ)）操作系統(tǒng)序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)

17、庫(kù)管理系統(tǒng) 4）數(shù)據(jù)庫(kù)管理系統(tǒng)序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng) 5）網(wǎng)絡(luò)互聯(lián)設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱設(shè)備名稱 6）安全設(shè)備操作系統(tǒng)序號(hào)操作系統(tǒng)名稱設(shè)備名稱 8）安全管理文檔3.3測(cè)評(píng)方法描述等級(jí)測(cè)評(píng)工作中采用的訪談、檢查、測(cè)試和風(fēng)險(xiǎn)分析等方法。4單元測(cè)評(píng)等級(jí)測(cè)評(píng)內(nèi)容包括“3.1測(cè)評(píng)指標(biāo)”中涉及的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等 10個(gè)安全分類，具體內(nèi)容由結(jié)果記錄、問(wèn)題分析和結(jié)果匯總等三部分構(gòu)成。4.1物理安全4.1.1結(jié)果記錄以表格形式給出物理安全的現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果。安全子類測(cè)評(píng)指標(biāo)結(jié)果記錄符合情況物理位置的選擇 物理訪問(wèn)控制 4.1.2結(jié)果匯總針對(duì)不同測(cè)評(píng)指標(biāo)子類對(duì)物理安全的單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)

18、行匯總和統(tǒng)計(jì)。4.1.3問(wèn)題分析針對(duì)物理安全測(cè)評(píng)結(jié)果中存在的部分符合項(xiàng)或不符合項(xiàng)加以匯總和分析，形成 安全問(wèn)題描述。4.2網(wǎng)絡(luò)安全4.2.1結(jié)果記錄4.2.2結(jié)果匯總4.2.3問(wèn)題分析4.3主機(jī)安全結(jié)果記錄結(jié)果匯總問(wèn)題分析4.4應(yīng)用安全結(jié)果記錄結(jié)果匯總問(wèn)題分析4.5數(shù)據(jù)安全及備份恢復(fù)4.5.1結(jié)果記錄4.5.2結(jié)果匯總問(wèn)題分析4.6安全管理制度4.6.1結(jié)果記錄4.6.2結(jié)果匯總問(wèn)題分析4.7安全管理機(jī)構(gòu)4.7.1結(jié)果記錄4.7.2結(jié)果匯總問(wèn)題分析4.8人員安全管理4.8.1結(jié)果記錄4.8.2結(jié)果匯總4.8.3問(wèn)題分析4.9系統(tǒng)建設(shè)管理4.9.1結(jié)果記錄4.9.2結(jié)果匯總4.9.3 問(wèn)題分析4

19、.10系統(tǒng)運(yùn)維管理4.10.1結(jié)果記錄4.10.2結(jié)果匯總4.10.3問(wèn)題分析5整體測(cè)評(píng)從安全控制間、層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)等方面對(duì)單元測(cè)評(píng)的結(jié)果進(jìn)行驗(yàn)證、 分析和整體評(píng)價(jià)。具體內(nèi)容參見信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求。5.1安全控制間安全測(cè)評(píng)5.2層面間安全測(cè)評(píng)5.3區(qū)域間安全測(cè)評(píng)5.4系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)6測(cè)評(píng)結(jié)果匯總一是以表格形式匯總測(cè)評(píng)結(jié)果。表格以不同顏色對(duì)測(cè)評(píng)結(jié)果進(jìn)行區(qū)分，部分符 合的安全子類采用黃色標(biāo)識(shí)，不符合的安全子類采用紅色標(biāo)識(shí)。序號(hào)安全分類安全子類符合情況符合部分符合不符合1物理安全物理位置的選擇2物理訪問(wèn)控制口3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應(yīng)10電磁防護(hù) 統(tǒng)計(jì)721二是以柱狀圖形式統(tǒng)計(jì)不同設(shè)備和安全子類的測(cè)評(píng)結(jié)果。三是以表格形式匯總信息系統(tǒng)中存在的安全問(wèn)題。7風(fēng)險(xiǎn)分