1、Forpersonaluseonlyinstudyandresearch;notforcommercialuse報(bào)告編號(hào)：XXXXXXXXXXX-XXXXX-XX-XXXX-XX信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告模版（2015年版）系統(tǒng)名稱委托單位測評(píng)單位說明：一、每個(gè)備案信息系統(tǒng)單獨(dú)出具測評(píng)報(bào)告。二、測評(píng)報(bào)告編號(hào)為四組數(shù)據(jù)。各組含義和編碼規(guī)則如下：第一組為信息系統(tǒng)備案表編號(hào)，由2段16位數(shù)字組成，可以從公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)備案證明（或備案回執(zhí)）上獲得。第1段即備案證明編號(hào)的前11位（前6位為受理備案公安機(jī)關(guān)代碼，后5位為受理備案的公安機(jī)關(guān)給出的備案單位的順序編號(hào)）；第2段即備案證明編號(hào)的后5位（系統(tǒng)

2、編號(hào)）。第二組為年份，由2位數(shù)字組成。例如09代表2009年。第三組為測評(píng)機(jī)構(gòu)代碼，由四位數(shù)字組成。前兩位為省級(jí)行政區(qū)劃數(shù)字代碼的前兩位或行業(yè)主管部門編號(hào)：00為公安部，11為北京，12為天津，13為河北，14為山西，15為內(nèi)蒙古，21為遼寧，22為吉林，23為黑龍江，31為上海，32為江蘇，33為浙江，34為安徽，35為福建，36為江西，37為山東，41為河南，42為湖北，43為湖南，44為廣東，45為廣西，46為海南，50為重慶，51為四川，52為貴州，53為云南，54為西藏，61為陜西，62為甘肅，63為青海，64為寧夏，65為新疆，66為新疆兵團(tuán)。90為國防科工局，91為電監(jiān)會(huì)，92為

3、教育部。后兩位為公安機(jī)關(guān)或行業(yè)主管部門推薦的測評(píng)機(jī)構(gòu)順序號(hào)。第四組為本年度信息系統(tǒng)測評(píng)次數(shù)，由兩位構(gòu)成。例如02表示該信息系統(tǒng)本年度測評(píng)2次。信息系統(tǒng)等級(jí)測評(píng)基本信息表信息系統(tǒng)系統(tǒng)名稱安全保護(hù)等級(jí)備案證明編號(hào)測評(píng)結(jié)論被測單位單位名稱單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件測評(píng)單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件審核批準(zhǔn)編制人（簽名）編制日期審核人（簽名）審核日期批準(zhǔn)人（簽名）批準(zhǔn)日期注：單位代碼由受理測評(píng)機(jī)構(gòu)備案的公安機(jī)關(guān)給出。聲明（聲明是測評(píng)機(jī)構(gòu)對測評(píng)報(bào)告的有效性前提、測評(píng)結(jié)論的適用范圍以及使用方式等有關(guān)事項(xiàng)的陳

4、述。針對特殊情況下的測評(píng)工作，測評(píng)機(jī)構(gòu)可在以下建議內(nèi)容的基礎(chǔ)上增加特殊聲明。）本報(bào)告是XXX信息系統(tǒng)的等級(jí)測評(píng)報(bào)告。本報(bào)告測評(píng)結(jié)論的有效性建立在被測評(píng)單位提供相關(guān)證據(jù)的真實(shí)性基礎(chǔ)之上。本報(bào)告中給出的測評(píng)結(jié)論僅對被測信息系統(tǒng)當(dāng)時(shí)的安全狀態(tài)有效。當(dāng)測評(píng)工作完成后，由于信息系統(tǒng)發(fā)生變更而涉及到的系統(tǒng)構(gòu)成組件（或子系統(tǒng)）都應(yīng)重新進(jìn)行等級(jí)測評(píng)，本報(bào)告不再適用。本報(bào)告中給出的測評(píng)結(jié)論不能作為對信息系統(tǒng)內(nèi)部署的相關(guān)系統(tǒng)構(gòu)成組件（或產(chǎn)品）的測評(píng)結(jié)論。在任何情況下，若需引用本報(bào)告中的測評(píng)結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。單位名稱（加蓋單位公章）年月等級(jí)測評(píng)結(jié)論測評(píng)

5、結(jié)論與綜合得分系統(tǒng)名稱保護(hù)等級(jí)系統(tǒng)簡介（簡要描述被測信息系統(tǒng)承載的業(yè)務(wù)功能等基本情況。建議不超過400字）測評(píng)過程簡介（簡要描述測評(píng)范圍和主要內(nèi)容。建議不超過200字。）測評(píng)結(jié)論綜合得分總體評(píng)價(jià)根據(jù)被測系統(tǒng)測評(píng)結(jié)果和測評(píng)過程中了解的相關(guān)信息，從用戶角度對被測信息系統(tǒng)的安全保護(hù)狀況進(jìn)行評(píng)價(jià)。例如可以從安全責(zé)任制、管理制度體系、基礎(chǔ)設(shè)施與網(wǎng)絡(luò)環(huán)境、安全控制措施、數(shù)據(jù)保護(hù)、系統(tǒng)規(guī)劃與建設(shè)、系統(tǒng)運(yùn)維管理、應(yīng)急保障等方面分別評(píng)價(jià)描述信息系統(tǒng)安全保護(hù)狀況。綜合上述評(píng)價(jià)結(jié)果，對信息系統(tǒng)的安全保護(hù)狀況給出總括性結(jié)論。例如：信息系統(tǒng)總體安全保護(hù)狀況較好。主要安全問題描述被測信息系統(tǒng)存在的主要安全問題及其可能導(dǎo)致

6、的后果問題處置建議針對系統(tǒng)存在的主要安全問題提出處置建議。目錄TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 等級(jí)測評(píng)結(jié)論III HYPERLINK l bookmark8 o Current Document 總體評(píng)價(jià)IV HYPERLINK l bookmark10 o Current Document 主要安全問題V HYPERLINK l bookmark12 o Current Document 問題處置建議VI HYPERLINK l bookmark20 o Current Document 測評(píng)項(xiàng)目概述1 HYPER

7、LINK l bookmark22 o Current Document 測評(píng)目的1 HYPERLINK l bookmark24 o Current Document 測評(píng)依據(jù)1 HYPERLINK l bookmark26 o Current Document 測評(píng)過程1 HYPERLINK l bookmark28 o Current Document 報(bào)告分發(fā)范圍1 HYPERLINK l bookmark30 o Current Document 被測信息系統(tǒng)情況1 HYPERLINK l bookmark32 o Current Document 承載的業(yè)務(wù)情況1 HYPERLIN

8、K l bookmark34 o Current Document 網(wǎng)絡(luò)結(jié)構(gòu)1 HYPERLINK l bookmark36 o Current Document 系統(tǒng)資產(chǎn)1機(jī)房2網(wǎng)絡(luò)設(shè)備2安全設(shè)備2服務(wù)器/存儲(chǔ)設(shè)備2終端3業(yè)務(wù)應(yīng)用軟件3關(guān)鍵數(shù)據(jù)類別3安全相關(guān)人員3安全管理文檔4 HYPERLINK l bookmark38 o Current Document 安全服務(wù)4 HYPERLINK l bookmark40 o Current Document 安全環(huán)境威脅評(píng)估4 HYPERLINK l bookmark42 o Current Document 前次測評(píng)情況4等級(jí)測評(píng)范圍與方法5

9、 HYPERLINK l bookmark44 o Current Document 測評(píng)指標(biāo)5基本指標(biāo)5不適用指標(biāo)5特殊指標(biāo)6 HYPERLINK l bookmark46 o Current Document 測評(píng)對象6測評(píng)對象選擇方注6測評(píng)對象選擇結(jié)果6 HYPERLINK l bookmark48 o Current Document 測評(píng)方法7 HYPERLINK l bookmark50 o Current Document 單元測評(píng)8 HYPERLINK l bookmark52 o Current Document 物理安全8結(jié)果匯總8結(jié)果分析8 HYPERLINK l boo

10、kmark54 o Current Document 網(wǎng)絡(luò)安全8結(jié)果匯總9結(jié)果分析9主機(jī)安全9結(jié)果匯總9結(jié)果分析9應(yīng)用安全9果匯總9結(jié)果分析9數(shù)據(jù)安全及備份恢復(fù)9結(jié)果匯總9結(jié)果分析9安全管理制度9果匯總9結(jié)果分析9安全管理機(jī)構(gòu)10結(jié)果匯總10結(jié)果分析10人員安全管理10結(jié)果匯總10結(jié)果分析104_9系統(tǒng)建設(shè)管理10果匯總10結(jié)果分析10系統(tǒng)運(yùn)維管理10結(jié)果匯總10結(jié)果分析10XXXX（特殊指標(biāo)）10結(jié)果匯總10結(jié)果分析10單元測評(píng)小結(jié)10控制點(diǎn)符合情況匯為10 HYPERLINK l bookmark56 o Current Document 安全問題匯總11整體測評(píng) HYPERLINK l

11、bookmark58 o Current Document 安全控制間安全測評(píng)12 HYPERLINK l bookmark60 o Current Document 層面間安全測評(píng)12 HYPERLINK l bookmark62 o Current Document 區(qū)域間安全測評(píng)12驗(yàn)證測試12 HYPERLINK l bookmark64 o Current Document 整體測評(píng)結(jié)果匯總12 HYPERLINK l bookmark66 o Current Document 總體安全狀況分析13 HYPERLINK l bookmark68 o Current Document

12、系統(tǒng)安全保障評(píng)估13 HYPERLINK l bookmark70 o Current Document 安全問題風(fēng)險(xiǎn)評(píng)估17等級(jí)測評(píng)結(jié)論17 HYPERLINK l bookmark72 o Current Document 問題處置建議18附錄A等級(jí)測評(píng)結(jié)果記錄19 HYPERLINK l bookmark74 o Current Document A.1物理安全19 HYPERLINK l bookmark76 o Current Document A.2網(wǎng)絡(luò)安全19 HYPERLINK l bookmark78 o Current Document A.3主機(jī)安全19 HYPERLIN

13、K l bookmark80 o Current Document A.4應(yīng)用安全19 HYPERLINK l bookmark82 o Current Document A.5數(shù)據(jù)安全及備份恢復(fù)19 HYPERLINK l bookmark84 o Current Document A.6安全管理制度19 HYPERLINK l bookmark86 o Current Document A.7安全管理機(jī)構(gòu)19 HYPERLINK l bookmark88 o Current Document A.8人員安全管理19A.9系統(tǒng)建設(shè)管理20A.10系統(tǒng)運(yùn)維管理20A.11XXXX（特殊指標(biāo)安全

14、層面）20A.12驗(yàn)證測試201測評(píng)項(xiàng)目概述測評(píng)目的測評(píng)依據(jù)列出開展測評(píng)活動(dòng)所依據(jù)的文件、標(biāo)準(zhǔn)和合同等。如果有行業(yè)標(biāo)準(zhǔn)的，行業(yè)標(biāo)準(zhǔn)的指標(biāo)作為基本指標(biāo)。報(bào)告中的特殊指標(biāo)屬于用戶自愿增加的要求項(xiàng)。測評(píng)過程描述等級(jí)測評(píng)工作流程，包括測評(píng)工作流程圖、各階段完成的關(guān)鍵任務(wù)和工作的時(shí)間節(jié)點(diǎn)等內(nèi)容。報(bào)告分發(fā)范說明等級(jí)測評(píng)報(bào)告正本的份數(shù)與分發(fā)范圍2被測信息系統(tǒng)情況參照備案信息簡要描述信息系統(tǒng)。承載的業(yè)務(wù)情況描述信息系統(tǒng)承載的業(yè)務(wù)、應(yīng)用等情況。網(wǎng)絡(luò)結(jié)構(gòu)給出被測信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說明被測信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡介、

15、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備中心的情況。系統(tǒng)資產(chǎn)系統(tǒng)資產(chǎn)包括被測信息系統(tǒng)相關(guān)的所有軟硬件、人員、數(shù)據(jù)及文檔等。機(jī)房以列表形式給出被測信息系統(tǒng)的部署機(jī)房序號(hào)機(jī)房名稱物理位置網(wǎng)絡(luò)設(shè)備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。序號(hào)設(shè)備名稱操作系統(tǒng)口品牌型號(hào)用途數(shù)量冶/套）重要程度安全設(shè)備以列表形式給出被測信息系統(tǒng)中的安全設(shè)備。序號(hào)設(shè)備名稱操作系統(tǒng)rrtkh品牌型號(hào)用途數(shù)量（臺(tái)/套）重要程度服務(wù)器/存儲(chǔ)設(shè)備以列表形式給出被測信息系統(tǒng)中的服務(wù)器和存儲(chǔ)設(shè)備，描述服務(wù)器和存儲(chǔ)設(shè)備的項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。序號(hào)設(shè)備名稱1操作系統(tǒng)/數(shù)據(jù)庫管理系

16、統(tǒng)版本業(yè)務(wù)應(yīng)用軟件數(shù)量（臺(tái)/套）重要程度1設(shè)備名稱在本報(bào)告中應(yīng)唯一，如xx業(yè)務(wù)主數(shù)據(jù)庫服務(wù)器或xx-svr-db-1。終端以列表形式給出被測信息系統(tǒng)中的終端，包括業(yè)務(wù)管理終端、業(yè)務(wù)終端和運(yùn)維終端等。序號(hào)設(shè)備名稱操作系統(tǒng)用途數(shù)量（臺(tái)/套）重要程度業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱、主要功能簡介。序號(hào)軟件名稱主要功能開發(fā)廠商重要程度關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序號(hào)數(shù)據(jù)類別1所屬業(yè)務(wù)應(yīng)用安全防護(hù)需求2重要程度安全相關(guān)人員以列表形式給出與被測信息系統(tǒng)安全相關(guān)的人員情況。相關(guān)人員包括（但不限于）

17、安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、網(wǎng)絡(luò)（安全）管理員、主機(jī)（安全）管理員、數(shù)據(jù)庫（安全）管理員、應(yīng)用（安全）管理員、機(jī)房管理人員、資產(chǎn)管理員、業(yè)務(wù)操作員、安全審計(jì)人員等。1如鑒別數(shù)據(jù)、管理信息和業(yè)務(wù)數(shù)據(jù)等，而業(yè)務(wù)數(shù)據(jù)可從安全防護(hù)需求（保密、完整等）的角度進(jìn)一步細(xì)分。2保密性，完整性等。姓名.崗位/角色1聯(lián)系方式1安全管理文檔以列表形式給出與信息系統(tǒng)安全相關(guān)的文檔，包括管理類文檔、記錄類文檔和其他文檔。序號(hào)文檔名稱主要內(nèi)容.安全服務(wù)序號(hào)安全服務(wù)名稱1安全服務(wù)商安全環(huán)境威脅評(píng)估描述被測信息系統(tǒng)的運(yùn)行環(huán)境中與安全相關(guān)的部分，并以列表形式給出被測信息系統(tǒng)的威脅列表。威脅分（子）類1磁前次測評(píng)情

18、況簡要描述前次等級(jí)測評(píng)發(fā)現(xiàn)的主要問題和測評(píng)結(jié)論。1安全服務(wù)包括系統(tǒng)集成、安全集成、安全運(yùn)維、安全測評(píng)、應(yīng)急響應(yīng)、安全監(jiān)測等所有相關(guān)安全服務(wù)。等級(jí)測評(píng)范圍與方法測評(píng)指標(biāo)測評(píng)指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分?；局笜?biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，選擇基本要求中對應(yīng)級(jí)別的安全要求作為等級(jí)測評(píng)的基本指標(biāo)，以表格形式在表3-1中列出。表3-1基本指標(biāo)安全控制點(diǎn)2不適用指標(biāo)鑒于信息系統(tǒng)的復(fù)雜性和特殊性，基本要求的某些要求項(xiàng)可能不適用于整個(gè)信息系統(tǒng)，對于這些不適用項(xiàng)應(yīng)在表后給出不適用原因。表3-2不適用指標(biāo)安全層面安全控制點(diǎn)不適用項(xiàng)原因說明1安全層面對應(yīng)基本要求中的物理安全、

19、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等10個(gè)安全要求類別。2安全控制點(diǎn)是對安全層面的進(jìn)一步細(xì)化，在基本要求目錄級(jí)別中對應(yīng)安全層面的下一級(jí)目錄。特殊指標(biāo)結(jié)合被測評(píng)單位要求、被測信息系統(tǒng)的實(shí)際安全需求以及安全最佳實(shí)踐經(jīng)驗(yàn)，以列表形式給出基本要求(或行業(yè)標(biāo)準(zhǔn))未覆蓋或者高于基本要求(或行業(yè)標(biāo)準(zhǔn))的安全要求。安全層面安全控制點(diǎn)特殊要求描述測評(píng)項(xiàng)數(shù)測評(píng)對象測評(píng)對象選擇方法依據(jù)GB/T28449-2012信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南的測評(píng)對象確定原則和方法，結(jié)合資產(chǎn)重要程度賦值結(jié)果，描述本報(bào)告中測評(píng)對象的選擇規(guī)則和方法。

20、測評(píng)對象選擇結(jié)果1)機(jī)房序號(hào)機(jī)房名稱物理位置重要程度2)網(wǎng)絡(luò)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度3)安全設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度4)服務(wù)器/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱1操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)業(yè)務(wù)應(yīng)用軟件重要程度終端序號(hào)設(shè)備名稱操作系統(tǒng)用途重要程度數(shù)據(jù)庫管理系統(tǒng)序號(hào)數(shù)據(jù)庫系統(tǒng)名稱數(shù)據(jù)庫管理系統(tǒng)類型所在設(shè)備名稱重要程度業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能開發(fā)廠商重要程度訪談人員序號(hào)姓名崗位/職責(zé)安全管理文檔序號(hào)文檔名稱主要內(nèi)容測評(píng)方法描述等級(jí)測評(píng)工作中采用的訪談、檢查、測試和風(fēng)險(xiǎn)分析等方法。1設(shè)備名稱在本報(bào)告中應(yīng)唯一，如xx業(yè)務(wù)主數(shù)據(jù)庫服務(wù)器或xx-svr-db-1。單元測評(píng)單元測評(píng)內(nèi)容包括“

21、3.1.1基本指標(biāo)”以及“3.1.3特殊指標(biāo)”中涉及的安全層面，內(nèi)容由問題分析和結(jié)果匯總等兩個(gè)部分構(gòu)成，詳細(xì)結(jié)果記錄及符合程度參見報(bào)告附錄A。物理安全結(jié)果匯總針對不同安全控制點(diǎn)對單個(gè)測評(píng)對象在物理安全層面的單項(xiàng)測評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。表4-1物理安全-單元測評(píng)結(jié)果匯總表序號(hào)測評(píng)對象符合情況物理位置的選擇物理訪問控制防盜竊和防破壞安e全控防火芟制點(diǎn)防水和防潮防靜電溫濕度控制電力供應(yīng)電磁屏蔽1對象1符合部分符合不符合不適用結(jié)果分析針對物理安全測評(píng)結(jié)果中存在的符合項(xiàng)加以分析說明，形成被測系統(tǒng)具備的安全保護(hù)措施描述。針對物理安全測評(píng)結(jié)果中存在的部分符合項(xiàng)或不符合項(xiàng)加以匯總和分析，形成安全問題描述。網(wǎng)絡(luò)安全結(jié)果匯總針對不同安全控制點(diǎn)對單個(gè)測評(píng)對象在網(wǎng)絡(luò)安全層面的單項(xiàng)測評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。結(jié)果分析主機(jī)安全結(jié)果匯總針對不同安全控制點(diǎn)對單個(gè)測評(píng)對象在主機(jī)安全層面的單項(xiàng)測評(píng)結(jié)果進(jìn)行匯總和統(tǒng)計(jì)。結(jié)果