1、信息安全等級保護測評體系建設試點工作會議材料之二報告編號：（XXXX-XX-XXXX-XX）信息系統安全等級測評報告模版系統名稱：被測單位：測評單位：報告時間：年月日報告編號2009 版信息系統等級測評基本信息表信息系統系統名稱安全保護等級備案證明編號測評結論被測單位單位名稱單位地址郵政編碼姓名職務/ 職稱聯 系 人所屬部門辦公電話移動電話電子郵件測評單位單位名稱單位代碼通信地址郵政編碼姓名職務/ 職稱聯 系 人所屬部門辦公電話移動電話電子郵件編制人(簽名)編制日期審核批準審核人(簽名)審核日期批準人(簽名)批準日期注：單位代碼由受理測評機構備案的公安機關給出。報告編號2009 版聲明（聲明是

2、測評機構對測評報告的有效性前提、測評結論的適用范圍以及使用方式等有關事項的陳述。針對特殊情況下的測評工作，測評機構可在以下建議內容的基礎上增加特殊聲明。）本報告是xxx 信息系統的等級測評報告。本報告測評結論的有效性建立在被測評單位提供相關證據的真實性基礎之上。本報告中給出的測評結論僅對被測信息系統當時的安全狀態有效。當測評工作完成后，由于信息系統發生變更而涉及到的系統構成組件（或子系統）都應重新進行等級測評，本報告不再適用。本報告中給出的測評結論不能作為對信息系統內部署的相關系統構成組件（或產品）的測評結論。在任何情況下，若需引用本報告中的測評結果或結論都應保持其原有的意義，不得對相關內容擅

3、自進行增加、修改和偽造或掩蓋事實。報告編號2009 版目錄報告摘要信息系統等級測評基本信息表信息系統等級測評基本信息表.1報告摘要 .I1測評項目概述 .11.1測評目的 .11.2測評依據 .11.3測評過程 .11.4報告分發范圍 .12被測信息系統情況 .22.1承載的業務情況 .22.2網絡結構 .22.3系統構成 .22.3.1業務應用軟件 .22.3.2關鍵數據類別 .22.3.3主機 / 存儲設備 .32.3.4網絡互聯設備 .32.3.5安全設備 .32.3.6安全相關人員 .32.3.7安全管理文檔 .42.4安全環境 .42.5前次測評情況 .43等級測評范圍與方法 .43

4、.1測評指標 .43.1.1基本指標 .53.1.2特殊指標 .53.2測評對象 .53.2.1測評對象選擇方法 .53.2.2測評對象選擇結果 .53.3測評方法 .74單元測評 .84.1物理安全 .84.1.1結果記錄 .84.1.2結果匯總 .84.1.3問題分析 .84.2網絡安全 .94.2.1結果記錄 .9目錄-I-報告編號2009 版4.2.2結果匯總 .94.2.3問題分析 .94.3主機安全 .94.3.1結果記錄 .94.3.2結果匯總 .94.3.3問題分析 .94.4應用安全 .94.4.1結果記錄 .94.4.2結果匯總 .94.4.3問題分析 .94.5數據安全及

5、備份恢復 .94.5.1結果記錄 .94.5.2結果匯總 .94.5.3問題分析 .94.6安全管理制度 .94.6.1結果記錄 .94.6.2結果匯總 .94.6.3問題分析 .94.7安全管理機構 .94.7.1結果記錄 .94.7.2結果匯總 .94.7.3問題分析 .94.8人員安全管理 .104.8.1結果記錄 .104.8.2結果匯總 .104.8.3問題分析 .104.9系統建設管理 .104.9.1結果記錄 .104.9.2結果匯總 .104.9.3問題分析 .104.10系統運維管理 .104.10.1結果記錄 .104.10.2結果匯總 .104.10.3問題分析 .105

6、整體測評 .115.1安全控制間安全測評 .115.2層面間安全測評 .115.3區域間安全測評 .115.4系統結構安全測評 .116測評結果匯總 .127風險分析和評價 .138等級測評結論 .14目錄-II-報告編號2009 版9安全建設整改建議15目錄-III-報告編號 / 項目名稱2009 版報告摘要（建議不超過800 字）簡要描述被測信息系統的名稱、安全等級、承載的業務等基本情況。簡要描述測評范圍和主要內容。簡要描述測評指標的符合性情況，給出測評結論（包括符合、基本符合和不符合） 。簡要描述測評中發現的主要問題和危害，并提出安全建設整改建議。摘要-I-報告編號2009 版測評項目概

7、述1.1 測評目的1.2 測評依據列出開展測評活動所依據的文件、標準和合同等。1.3 測評過程描述等級測評工作流程，包括測評工作流程圖、各階段完成的關鍵任務和工作的時間節點等內容。1.4 報告分發范圍說明等級測評報告正本的份數與分發范圍。正文第1頁 / 共15頁報告編號2009 版被測信息系統情況參照備案信息簡要描述信息系統。2.1 承載的業務情況描述信息系統承載的業務、應用等情況。2.2 網絡結構給出被測信息系統的拓撲結構示意圖，并基于示意圖說明被測信息系統的網絡結構基本情況， 包括功能 / 安全區域劃分、 隔離與防護情況、 關鍵網絡和主機設備的部署情況和功能簡介、與其他信息系統的互聯情況和

8、邊界設備以及本地備份和災備中心的情況。2.3 系統構成2.3.1業務應用軟件以列表的形式給出被測信息系統中的業務應用軟件（包括含中間件等應用平臺軟件），描述項目包括軟件名稱、主要功能簡介。序號軟件名稱主要功能重要程度 12.3.2關鍵數據類別以列表形式描述具有相近業務屬性和安全需求的數據集合。序號數據類別所屬業務應用主機 / 存儲設備重要程度依據信息系統安全等級測評過程指南判定正文第2頁 / 共15頁報告編號2009 版2.3.3主機 / 存儲設備以列表形式給出被測信息系統中的主機設備，描述主機設備的項目包括設備名稱、操作系統、數據庫管理系統以及承載的業務應用軟件系統。序號設備名稱操作系統 /

9、 數據庫管理系統業務應用軟件2.3.4網絡互聯設備以列表形式給出被測信息系統中的網絡互聯設備。序號設備名稱用途重要程度2.3.5安全設備以列表形式給出被測信息系統中的安全設備。序號設備名稱用途重要程度2.3.6安全相關人員以列表形式給出與被測信息系統安全相關的人員情況。相關人員包括（但不限于）安全主管、系統建設負責人、 系統運維負責人、 網絡（安全）管理員、主機（安全）管理員、數據庫（安全）管理員、應用（安全）管理員、機房管理人員、資產管理員、業務操作員、安全審計人員等。序號姓名崗位 / 角色聯系方式 正文第3頁 / 共15頁報告編號2009 版序號姓名崗位 / 角色聯系方式2.3.7安全管理

10、文檔以列表形式給出與信息系統安全相關的文檔，包括管理類文檔、記錄類文檔和其他文檔。序號文檔名稱主要內容2.4 安全環境描述被測信息系統的運行環境中與安全相關的部分，并以列表形式給出被測信息系統的威脅列表并賦值。威脅賦值是基于歷史統計或者行業判斷進行的，具體內容可參考風險評估規范 。序號威脅分 ( 子) 類描述威脅賦值 2.5 前次測評情況簡要描述前次等級測評發現的主要問題和測評結論。等級測評范圍與方法3.1 測評指標測評指標包括基本指標和特殊指標兩部分。正文第4頁 / 共15頁報告編號2009 版3.1.1基本指標依據信息系統確定的業務信息安全保護等級和系統服務安全保護等級，選擇基本要求中對應

11、級別的安全要求作為等級測評的基本指標。鑒于信息系統的復雜性和特殊性（如某些信息系統未部署數據庫服務器），基本指標中可能存在部分不適用項，可以在單元測評時進行識別。安全分類 1安全子類 2測評項數備注 3.1.2特殊指標結合行業和系統的實際，以列表形式給出基本要求未覆蓋或者高于基本要求的安全要求。安全分類安全子類特殊要求描述測評項數3.2 測評對象3.2.1測評對象選擇方法描述測評對象的選擇規則和方法。3.2.2測評對象選擇結果機房序號機房名稱物理位置安全分類對應基本要求中的物理安全、網絡安全、主機安全、應用安全、數據安全與備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運

12、維管理等10 個安全要求類別。安全子類是對安全分類的進一步細化，在基本要求目錄級別中對應安全分類的下一級目錄。正文第5頁 / 共15頁報告編號2009 版業務應用軟件序號軟件名稱主要功能 主機（存儲）操作系統序號設備名稱操作系統 / 數據庫管理系統 數據庫管理系統序號設備名稱操作系統 / 數據庫管理系統 網絡互聯設備操作系統序號操作系統名稱設備名稱 安全設備操作系統序號操作系統名稱設備名稱 正文第6頁 / 共15頁報告編號2009 版訪談人員 / 安全管理文檔 3.3 測評方法描述等級測評工作中采用的訪談、檢查、測試和風險分析等方法。正文第7頁 / 共15頁報告編號2009 版單元測評等級測評

13、內容包括“ 3.1 測評指標”中涉及的物理安全、網絡安全、主機安全等 10 個安全分類，具體內容由結果記錄、問題分析和結果匯總等三部分構成。4.1 物理安全4.1.1結果記錄以表格形式給出物理安全的現場測評結果。4.1.2結果匯總針對不同測評指標子類對物理安全的單項測評結果進行匯總和統計。4.1.3問題分析針對物理安全測評結果中存在的部分符合項或不符合項加以匯總和分析，形成安全問題描述。正文第8頁 / 共15頁報告編號2009 版4.2 網絡安全4.2.1結果記錄4.2.2結果匯總4.2.3問題分析4.3 主機安全4.3.1結果記錄4.3.2結果匯總4.3.3問題分析4.4 應用安全4.4.1

14、結果記錄4.4.2結果匯總4.4.3問題分析4.5 數據安全及備份恢復4.5.1結果記錄4.5.2結果匯總4.5.3問題分析4.6 安全管理制度4.6.1結果記錄4.6.2結果匯總4.6.3問題分析4.7 安全管理機構4.7.1結果記錄4.7.2結果匯總4.7.3問題分析正文第9頁 / 共15頁報告編號2009 版4.8 人員安全管理4.8.1結果記錄4.8.2結果匯總4.8.3問題分析4.9 系統建設管理4.9.1結果記錄4.9.2結果匯總4.9.3問題分析4.10系統運維管理4.10.1 結果記錄4.10.2 結果匯總4.10.3 問題分析正文第10頁 / 共15頁報告編號2009 版整體

15、測評從安全控制間、 層面間、區域間和系統結構等方面對單元測評的結果進行驗證、分析和整體評價。 具體內容參見信息安全技術信息系統安全等級保護測評要求 。5.1 安全控制間安全測評5.2 層面間安全測評5.3 區域間安全測評5.4 系統結構安全測評正文第11頁 / 共15頁報告編號2009 版測評結果匯總一是以表格形式匯總測評結果。表格以不同顏色對測評結果進行區分，部分符合的安全子類采用黃色標識，不符合的安全子類采用紅色標識。序號安全分類安全子類符合情況符合部分符合不符合1物理位置的選擇2物理訪問控制3防盜竊和防破壞4防雷擊5物防火理6安防水和防潮全7防靜電8溫濕度控制9電力供應10電磁防護統計7

16、21二是以柱狀圖形式統計不同設備和安全子類的測評結果。三是以表格形式匯總信息系統中存在的安全問題。正文第12頁 / 共15頁報告編號2009 版風險分析和評價依據等級保護的相關規范和標準，采用風險分析的方法分析信息系統等級測評結果中存在的安全問題（等級測評結果中部分符合項或不符合項的匯總結果）可能對信息系統安全造成的影響。分析過程包括：1）判斷安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低；2）判斷安全問題被威脅利用后， 對信息系統安全 （業務信息安全和系統服務安全）造成的影響程度，影響程度取值范圍為高、中和低；3）綜合 1）和 2）的結果對信息系統面臨的安全風險進行賦值，風險值的取

17、值范圍為高、中和低；4）結合信息系統的安全保護等級對風險分析結果進行評價，即對國家安全、 社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險。以列表形式給出等級測評發現安全問題以及風險分析和評價情況。系統安全問題風險分析和評價表關聯資產12序號問題描述關聯威脅風險值風險評價一二三12如風險值和評價相同，可填寫多個關聯資產。對于多個關聯的情況，應分別填寫。正文第13頁/共15頁報告編號2009 版等級測評結論綜合第 5、6、7 章的測評與分析結果，對信息系統基本安全保護狀態進行綜合判斷，并給出等級測評結論，應表述為“符合、“基本符合 ”或者“ 不符合 ”。測評結論的判別依據如下：測評

18、結論判別依據符合等級測評結果中不存在部分符合項或不符合項等級測評結果中存在部分符合項或不符合項，但不會導致信息系統面基本符合臨高等級安全風險等級測評結果中存在部分符合項或不符合項，導致信息系統面臨高等不符合級安全風險正文第14頁/共15頁報告編號2009 版安全建設整改建議針對系統存在的主要安全問題提出安全建設整改建議。說明：一、每個備案信息系統單獨出具測評報告。二、測評報告編號為四組，第一組為公安機關頒發的備案證明（或備案回執）證書編號的前 11 位，第二組為年份（ 2 位），第三組為測評機構代碼，第四組為測評次數。Englishis the most w idely spoen langu

19、age in the history of our planet,used in some wayby at least one out of everyseven human beings around the globe. Half ofthe worlds books are writtenin Eng lish, and the majorityof international telephone calls are made in English. English is the language ofover sixtypercent of the worlds radio prog

20、rams. More thanseventypercent of international mailis written and addressed in English, and eightypercent of all computer textis stored inEnglish. English has acquired the largest vocabularyof all the worldslanguages, perhaps as manyas two million words,and has generated one of the noblestbodies of

21、literature inthe annals ofthe human itis n ow time to face the fact that English is a crazylanguage - the most lunatic and loopyand of all languages. Inthe crazyEnglish language, the blackbird henis brown,blacboards can be green or blue, andblacberries are green and then red before theyare ripe. Eve

22、n if blackberries were reallyblackand blueberries reallyblue, what are strawberries, cranberries, huckleberries,raspberries, and gooseberries supposed to look add tothis insanitythere is no butter in buttermilk, no eggin eggplant, no grape in grapefruit, no bread in shortbread, neither worms nor woo

23、d inwormwood, neither mush nor room inmushroom, neither pine nor apple in pineapple, neither peas nor nuts in peanuts, and no ham in a hamburger. (In fact, if somebodyinvented a sandwich consisting of a ham pattyin a bun, we would have a hard time finding a name for it.)To mae matters worse, English

24、 muffins werent invented in England, fries inFrance, or Danish pastries in Denmark. And we discover even more culinarymadness in the thatsweetmeat is made fromfruit, while sweetbread, which isnt sweet, is made from this unreliable English tongue, greyhounds arent always grey (or gray); panda bears a

25、nd koala bears arent bears (theyre marsupials); a woodchucis a groundhog, whichis not a hog; a hornedto ad is a lizard; glowworms are fireflies, but fireflies are not flies (theyre beetles); ladybugs and lightnin g bugs are also beetles (and to, a significant proportion ofladybugs must be male); a g

26、uinea pig is neither a pignor from Guinea (its a South American rodent); and a titmouse is neither is like the air we breathe. Its invisible, inescapable, indispensable, and we tae it for granted.Bu t, when we tae the time to step bacand listento the sounds that escape from the holes inpeoples faces

27、 and to ex- the paradoxes and vagaries of English, we find that hot do gs can be cold, darrooms can be lit, homework can be done in school, nightmares can take place in broadday light while morning sicness and daydreaming can take place at night,tomboys are girls and midwivescan be men, hours - espe

28、ciallyhapphours and rush hours - oftenlast longer than sixtyminutes, quick- sand wors veryslowly, boxing rings are square, silverware and glasses can be made of plastic and tablecloths of paper, most are dialed bybeing punched (or pushed?), and most bathrooms dont haveanybaths in them. In fact, a do

29、g can go tothe bathroom under a tree - no bath, no room; its still going to the bathroom. And doesnt it seem a little bizarre thatwe go to the bathroom in order to goto the is itthat a woman can man a station but as man cant woman one, that a man can father amovement but a woman cant mother one, and

30、 that a king rules akingdom but a queen doesnt rule a? Howdid all thoseRenaissance men reproduce when there dont seem tohave been anyRenaissance writer is someone who writes, and a stinger is somethingthat stings. But fingers dontgrocers dont, haberdashers dont, hammers dont ham, and humdingers dont

31、 the plural of tooth is teeth , shouldnt the plural of boothbe ? One go ose, two geese - so one moose, two One index , two indices - one Kleenex, two If people ring a bell todayand rang a bell yesterday, whdont we saythat theya ball? If theywrote a letter, perhaps theyalso their tongue. If the teach

32、er taught, whyisnt it alsotrue that the preacher? Whyis it that the sun shone yesterday while I shined myshipshoes, that I treaded water and then trod on the beach, and that I flew out to see a World Series game in which myfavorite player flied we conceive aconception and receive ata reception, whyd

33、ont we grieve a and believe a? If a horsehair mat is made from the hair of horses and a camels hair brush from the hair of camels, from what is a mohair coat made? If adults commit adultery, do infants commit infantry? If olive o il is made from olives, what do theymak e baby oil from? If a vegetari

34、an eats vegetables, what does a humanitarian eat? (And Im beginningto worryabout those authoritarians.)And if pro and conare opposites,is congress the opposite of you have tobelieve that all Englishspeak ers shouldbe committed to an asylum for the verballyinsane. In what other language do people dri

35、ve ina parkway and parkin a driveway? In what other language do people recite at a playand playat a recital? In what other language do privates eatin the general mess and generals eat in the private mess? In what other language dopeople ship bytrucand send cargo by? In what other language can your n

36、ose run and your feet can a slim chance and a fat chance be the same and a bad licking anda good licing be the same, while a wise manand a wise guyare opposites? How can sharp speech and blunt speech be the same and quite a lowhyare upset and set up opposite inmeaning? Whyare pertinent and impertine

37、nt, cannyonlyy our left shoe, then your left one is right andyour right one is left?Rig ht?t and quite a few the same, while overlooandoversee are opposites? How can the weather be hot as hell one dayand cold as hellthe next? How can the expressions Whats goingon? andWhats coming off? mean exactlyth

38、e samton and unbutton and tie anduntie are opposites, whyare loosen and unloosen and ravel and unravel he same? If bad is the opposite of good,hard the opposite of soft, and upand uncanny, and famous and infamous neither opposites nor the same? How can raise and raze and recless andbe opposites when each pair contains the same is it that when the sunor the moon orthe stars are out, theyare visible, but when theligh ts a