实用参考等保测评报告模板Word下载.docx
- 文档编号:15988293
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:29
- 大小:27.61KB
实用参考等保测评报告模板Word下载.docx
《实用参考等保测评报告模板Word下载.docx》由会员分享,可在线阅读,更多相关《实用参考等保测评报告模板Word下载.docx(29页珍藏版)》请在冰豆网上搜索。
中心机房
灾备中心
其他机房
委托单位
单位名称
单位地址
邮政编码
联系人
姓名
职务/职称
所属部门
办公电话
移动电话
电子邮件
测评单位
通信地址
报告
审核批准
编制人
日期
审核人
批准人
声明
声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:
本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称
年月
报告目录
1测评项目概述1
1.1测评目的1
1.2测评依据1
1.3测评过程1
1.4报告分发范围2
2被测系统情况3
2.1基本信息3
2.2业务应用4
2.3网络结构4
2.4系统构成4
2.4.1业务应用软件4
2.4.2关键数据类别4
2.4.3主机/存储设备5
2.4.4网络互联与安全设备5
2.4.5安全相关人员6
2.4.6安全管理文档6
2.5安全环境6
3等级测评范围与方法7
3.1测评指标7
3.1.1基本指标7
3.1.2附加指标9
3.2测评对象9
3.2.1选择方法9
3.2.2选择结果10
3.3测评方法11
3.3.1现场测评方法11
3.3.2风险分析方法11
4等级测评内容12
4.1物理安全12
4.1.1结果记录12
4.1.2问题分析12
4.1.3单元测评结果12
4.2网络安全12
4.2.1结果记录12
4.2.2问题分析14
4.2.3单元测评结果14
4.3主机安全14
4.3.1结果记录14
4.3.2问题分析15
4.3.3单元测评结果15
4.4应用安全15
4.4.1结果记录15
4.4.2问题分析15
4.4.3单元测评结果15
4.5数据安全及备份恢复15
4.5.1结果记录15
4.5.2问题分析15
4.5.3单元测评结果15
4.6安全管理制度15
4.6.1结果记录15
4.6.2问题分析16
4.6.3单元测评结果16
4.7安全管理机构16
4.7.1结果记录16
4.7.2问题分析16
4.7.3单元测评结果16
4.8人员安全管理16
4.8.1结果记录16
4.8.2问题分析16
4.8.3单元测评结果16
4.9系统建设管理16
4.9.1结果记录16
4.9.2问题分析17
4.9.3单元测评结果17
4.10系统运维管理17
4.10.1结果记录17
4.10.2问题分析17
4.10.3单元测评结果17
4.11工具测试17
4.11.1结果记录17
4.11.2问题分析17
5等级测评结果17
5.1整体测评17
5.1.1安全控制间安全测评17
5.1.2层面间安全测评18
5.1.3区域间安全测评18
5.1.4系统结构安全测评18
5.2测评结果18
5.3统计图表22
6风险分析和评价22
6.1安全事件可能性分析22
6.2安全事件后果分析23
6.3风险分析和评价23
7系统安全建设、整改建议25
7.1物理安全25
7.2网络安全25
7.3主机安全25
7.4应用安全25
7.5数据安全及备份恢复25
7.6安全管理制度25
7.7安全管理机构25
7.8人员安全管理25
7.9系统建设管理26
7.10系统运维管理26
附:
信息系统安全等级保护备案表
测评项目概述
测评目的
描述信息系统的重要性:
通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)。
描述测评报告的用途(如,作为后续安全整改的依据)。
测评依据
开展测评活动所依据的合同、标准和文件:
《信息安全等级保护管理办法》(公通字[20PP]43号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[20PP]2071号)
GB/T22239-20PP信息安全技术信息系统安全等级保护基本要求
GB/T20984-20PP信息安全技术信息安全风险评估规范
《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)
被测信息系统安全等级保护定级报告
等级测评任务书/测评合同等
测评过程
描述本次等级测评的工作流程(可参考《信息系统安全等级保护测评过程指南》),具体内容包括但不限于:
测评工作流程图
各阶段完成的关键任务
工作的时间节点
报告分发范围
依据项目需求,明确应交付等级测评报告的数量与分发范围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。
被测系统情况
基本信息
主管机构
系统承载
业务情况
业务类型
1生产作业2指挥调度3管理控制
4内部办公5公众服务
9其他
业务描述
系统服务
情况
服务范围
10全国11跨省(区、市)跨个
20全省(区、市)21跨地(市、区)跨个
30地(市、区)内
99其它
服务对象
1单位内部人员2社会公众人员3两者均包括
系统网络
平台
覆盖范围
1局域网2城域网3广域网
网络性质
1业务专网2互联网
9其它
系统互联
1与其他行业系统连接2与本行业其他单位系统连接
3与本单位其他系统连接
业务信息安全保护等级
系统服务安全保护等级
信息系统安全保护等级
业务应用
描述信息系统承载的业务应用情况。
网络结构
给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括但不限于:
功能/安全区域划分、隔离与防护情况
关键网络和主机设备的部署情况和功能简介
与其他信息系统的互联情况和边界设备
本地备份和灾备中心的情况
系统构成
以列表的形式分类描述信息系统的软、硬件构成情况。
161.1 业务应用软件
以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。
序号
软件名称
主要功能
重要程度
…
161.2 关键数据类别
数据类型
所属业务应用
主机/存储设备
161.3 主机/存储设备
以列表形式给出被测信息系统中的主机设备(包含操作系统和数据库管理系统软件),描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
设备名称
操作系统/数据库管理系统
业务应用软件
161.4 网络互联与安全设备
以列表形式给出被测信息系统中的网络互联及安全设备。
设备名称应确保在被测信息系统范围内的唯一性,建议采取类别-用途/功能/型号-编号(可选)的三段命名方式。
用途
1
路由器_内部_1
内部边界路由
重要
2
路由器_VPN_1
远程管理维护
3
路由器_VPN_2
4
防火墙_WEB_1
Web区之间访问控制
161.5 安全相关人员
以列表形式给出与被测信息系统安全相关的人员,描述项目包括姓名、岗位/角色和联系方式。
人员包括但不限于安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
岗位/角色
联系方式
161.6 安全管理文档
与信息系统安全相关的文档,包括:
管理类文档,如机构总体安全方针和政策方面的管理制度、、人员安全教育和培训方面的管理制度、第三方人员访问控制方面的管理制度、机房安全管理方面的管理制度等;
记录类文档,如设备运行维护记录、会议记录等;
其他类文档,如专家评审意见等。
文档名称
主要内容
安全环境
描述被测信息系统的运行环境中与安全相关的部分:
如数据中心位于运营服务商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。
以列表形式给出被测信息系统的威胁列表,并基于历史统计或者行业判断进行威胁赋值,具体内容可参考《风险评估规范》。
威胁分(子)类
描述
威胁赋值
网络攻击
利用工具和技术通过网络对信息系统进行攻击和入侵
高
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实用 参考 测评 报告 模板