等保测评报告模板.docx

该【等保测评报告模板 】是由【我是开始】上传分享，文档一共【35】页，该文档可以免费在线阅读，需要了解更多关于【等保测评报告模板 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。信息系统安全等级测评
报告模板
项目名称:
委托单位:
测评单位:
报告摘要
一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)
描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数虽,检查的网络互联与安全设备、主机、应用系统、管理文档数虽,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题
,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息
信息系统基本情况
系统名称
安全保护等级
机房位置
中心机房
灾备中心
其他机房
委托单位
单位名称
单位地址
邮政编码
联系人
姓名
职务/职称
所属部门
办公电话
移动电话
电子邮件
测评单位
单位名称
通信地址
邮政编码
联系人
姓名
职务/职称
所属部门
办公电话
移动电话
电子邮件
报告
编制人
日期
审核批准
审核人
日期
批准人
日期
声明
声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容:
本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录测评项目概述1
测评目的1
测评依据1
测评过程2
报告分发范围2被测系统情况3
基本信息3
业务应用4
网络结构4
系统构成4
业务应用软件4
关键数据类别5.
主机/.
网络互联与安全设备5

.


基本指标8
附加指标10测评对象11


.
.



.

结果记录15


结果记录18


结果记录19


结果记录19


结果记录20
问题分析20

结果记录20
问题分析20

人员安全管理20
结果记录20
问题分析21

系统建设管理21

问题分析21



问题分析21


结果记录22
问题分析2222
5等级测评结果
整体测评22
安全控制间安全测评22
层面间安全测评22
区域间安全测评22
系统结构安全测评22
测评结果23
统计图表28风险分析和评价28
安全事件可能性分析28
安全事件后果分析29
风险分析和评价30系统安全建设、整改建议31
物理安全31
网络安全31
主机安全31
应用安全31
数据安全及备份恢复31
安全管理制度32
安全管理机构32
人员安全管理32
系统建设管理32
系统运维管理32附:信息系统安全等级保护备案表
测评项目概述1测评目的
描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
描述等级测评工作的基本情况,包括委托单位、测评单位、测评范围及预期(如,通过等级测评找出与国家标准要求之间的差距)。
描述测评报告的用途(如,作为后续安全整改的依据)。
2测评依据
开展测评活动所依据的合同、标准和文件:
〈信息安全等级保护管理办法〉〉(公通字[2007]43号)〈关丁加强国家电子政务工程建设项目信息安全风险评估工作的通知〉〉发改高技[2008]2071号)针对“国家电子政务工程建设项目”有效
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息安全风险评估规范〈信息安全技术信息系统安全等级保护测评要求〉〉何标报批稿)被测信息系统安全等级保护定级报告等级测评任务书/测评合同等1测评过程
描述本次等级测评的工作流程(可参考〈信息系统安全等级保护测评过程指南》),具体内容包括但不限丁:
测评工作流程图
各阶段完成的关键任务
工作的时间节点1报告分发范围
依据项目需求,明确应交付等级测评报告的数量与分发范围(如本报告一式三份,一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存)。
被测系统情况1基本信息
系统名称本报告模板针对作为单一定级对象的信息系统制定。
主管机构
系统承载
业务情况
业务类型
1生产作业2指挥调度3管理控制
4内部办公5公众服务
9其他
业务描述
系统服务情况
服务范围
10全国11跨省(区、市)跨个
20全省(区、市)21跨地(市、区)跨个
30地(市、区)内
99其它
服务对象
1单位内部人贝2社会公众人贝3两者均包括
9其他
系统网络
平台
覆盖范围
1局域网2城域网3广域网
9其他
网络性质
1业务专网2互联网
9其它
系统互联
情况
1与其他行业系统连接2与本行业其他单位系统连接
3与本单位其他系统连接
9其它
业务信息安全保护等级
系统服务安全保护等级
信息系统安全保护等级
2业务应用
描述信息系统承载的业务应用情况。
3网络结构
给出被测信息系统的拓扑结构示意图,并基丁示意图说明被测信息系统的网络结构基本情况,包括但不限丁:
功能/安全区域划分、隔离与防护情况
关键网络和主机设备的部署情况和功能简介
与其他信息系统的互联情况和边界设备
本地备份和灾备中心的情况1系统构成
以列表的形式分类描述信息系统的软、硬件构成情况。

以列表的形式给出被测信息系统中的业务应用软件(包括含中问件等应用平台软件),描述项目包括软件名称、主要功能简介和重要程度。
序号
软件名称
主要功能
重要程度
••-
••-
••-
••-