等级保护测评报告模板
BG100040
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXX-XX 信息系统安全等级测评报告
系统名称:
委托单位:
测评单位:
报告时间:年月日
山东省电子信息产品检验院
信息系统等级测评基本信息表
声明
本报告是xxx信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
山东省电子信息产品检验院
年月
等级测评结论
总体评价
主要安全问题
问题处置建议
目录
等级测评结论......................................................................................................................................... I II 总体评价 ................................................................................................................................................ I V 主要安全问题.......................................................................................................................................... V 问题处置建议......................................................................................................................................... V I 1测评项目概述 . (1)
1.1测评目的 (1)
1.2测评依据 (1)
1.3测评过程 (1)
1.4报告分发范围 (1)
2被测信息系统情况 (1)
2.1承载的业务情况 (1)
2.2网络结构 (1)
2.3系统资产 (1)
2.3.1机房 (1)
2.3.2网络设备 (2)
2.3.3安全设备 (2)
2.3.4服务器/存储设备 (2)
2.3.5终端 (2)
2.3.6业务应用软件 (3)
2.3.7关键数据类别 (3)
2.3.8安全相关人员 (3)
2.3.9安全管理文档 (3)
2.4安全服务 (3)
2.5安全环境威胁评估 (4)
2.6前次测评情况 (4)
3等级测评范围与方法 (4)
3.1测评指标 (4)
3.1.1基本指标 (4)
3.1.2不适用指标 (5)
3.1.3特殊指标 (5)
3.2测评对象 (5)
3.2.1测评对象选择方法 (5)
3.2.2测评对象选择结果 (5)
3.3测评方法 (7)
4单元测评 (7)
4.1物理安全 (7)
4.1.1结果汇总 (7)
4.1.2结果分析 (8)
4.2网络安全 (8)
4.2.1结果汇总 (8)
4.2.2结果分析 (8)
4.3主机安全 (8)
4.3.1结果汇总 (8)
4.3.2结果分析 (8)
4.4应用安全 (8)
4.4.1结果汇总 (8)
4.4.2结果分析 (9)
4.5数据安全及备份恢复 (9)
4.5.1结果汇总 (9)
4.5.2结果分析 (9)
4.6安全管理制度 (9)
4.6.1结果汇总 (9)
4.6.2结果分析 (9)
4.7安全管理机构 (9)
4.7.1结果汇总 (9)
4.7.2结果分析 (9)
4.8人员安全管理 (9)
4.8.1结果汇总 (9)
4.8.2结果分析 (9)
4.9系统建设管理 (9)
4.9.1结果汇总 (9)
4.9.2结果分析 (9)
4.10系统运维管理 (10)
4.10.1结果汇总 (10)
4.10.2结果分析 (10)
4.11××××(特殊指标) (10)
4.11.1结果汇总 (10)
4.11.2结果分析 (10)
4.12单元测评小结 (10)
4.12.1控制点符合情况汇总 (10)
4.12.2安全问题汇总 (11)
5整体测评 (11)
5.1安全控制间安全测评 (11)
5.2层面间安全测评 (11)
5.3区域间安全测评 (11)
5.4验证测试 (11)
5.5整体测评结果汇总 (11)
6总体安全状况分析 (12)
6.1系统安全保障评估 (12)
6.2安全问题风险评估 (15)
6.3等级测评结论 (15)
7问题处置建议 (16)
附录A等级测评结果记录 (17)
A.1物理安全 (17)
A.2网络安全 (17)
A.3主机安全 (17)
A.4应用安全 (17)
A.5数据安全及备份恢复 (17)
A.6安全管理制度 (17)
A.7安全管理机构 (17)
A.8人员安全管理 (17)
A.9系统建设管理 (17)
A.10系统运维管理 (18)
A.11××××(特殊指标安全层面) (18)
A.12验证测试 (18)
1测评项目概述
1.1测评目的
1.2测评依据
1.3测评过程
1.4报告分发范围
2被测信息系统情况2.1承载的业务情况2.2网络结构
2.3系统资产
2.3.1机房
2.3.2网络设备
2.3.3安全设备
2.3.4服务器/存储设备
2.3.5终端
2.3.6业务应用软件
2.3.7关键数据类别
2.3.8安全相关人员
2.3.9安全管理文档
2.4安全服务
2.5安全环境威胁评估
2.6前次测评情况
3等级测评范围与方法
3.1测评指标
3.1.1基本指标
表3-1 基本指标
3.1.2不适用指标
表3-2 不适用指标
3.1.3特殊指标
3.2测评对象
3.2.1测评对象选择方法
3.2.2测评对象选择结果
1)机房
2)网络设备
3)安全设备
4)服务器/存储设备
5)终端
6)数据库管理系统
7)业务应用软件
8)访谈人员
9)安全管理文档
3.3测评方法
4单元测评
4.1物理安全
4.1.1结果汇总
表4-1物理安全-单元测评结果汇总表
4.1.2结果分析4.2网络安全4.2.1结果汇总4.2.2结果分析4.3主机安全4.3.1结果汇总4.3.2结果分析4.4应用安全4.4.1结果汇总
4.4.2结果分析
4.5数据安全及备份恢复4.
5.1结果汇总
4.5.2结果分析
4.6安全管理制度
4.6.1结果汇总
4.6.2结果分析
4.7安全管理机构
4.7.1结果汇总
4.7.2结果分析
4.8人员安全管理
4.8.1结果汇总
4.8.2结果分析
4.9系统建设管理
4.9.1结果汇总
4.9.2结果分析
等级保护测评报告模板
信息系统安全等级测评 报告模板 项目名称: 委托单位: 测评单位: 年月日
报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。(见附件:信息系统安全等级保护备案表) 描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。 二、等级测评结果 依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。 三、系统存在的主要问题 依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
公安部信息安全等级保护评估中心 四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息
声明 声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容: 本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结论。 本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年月
信息系统等级保护测评工作方案
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
测试报告模版
XXX项目测试报告
1综述 1.1编写目的 本文档主要为各项目组的测试人员、测试组长、项目经理、技术负责人和开发人员等提供客观的质量评估,通过对测试内容的描述、并通过项目测试度量数据直观体现项目质量情况。同时也作为交付项目的质量评估重要依据。通过不同指标的目标设定、过程跟踪、结果分析,为当期被测产品的质量提供可参考的数据,也为后续测试提供数据的基础积累,并作为制定方法流程的依据。 1.2测试简介 1.2.1测试版本 说明:任何一个项目的测试都不可能是一个版本就可以完成的,期间必然要经过不断的版本迭代最后趋于稳定并满足了产品发布的要求,最后发布。所以在测试过程中不仅仅要对Bug进行记录,更要对所测试过的版本进行一个完整的记录。 版本号的命名规则通常是:项目名称缩写.产品发布日期 例如:. 版本意为:BPM项目发布在2013年1月30日发布的第一个版本,后续发布的版本可以不断递增,例如等,V代表version,版本的意思。
1.2.2人员与职责 1.2.3测试环境 2. 测试内容 1.2.1测试项及测试标准
1.2.2测试内容及结果 3. 软件质量指标 说明:在软件质量指标中的表格仅仅是一个示例,在实际项目测试报告编写过程中需要将具体的数字填写到表格当中。 3.1用例通过率 【用例通过率】:计算项目测试用例执行通过的总数除以与之对应的项目测试用例总数,主要查看项目测试用例执行的有效情况,以此来判断项目的质量情况。
【公式】:∑通过的测试用例个数(个) / ∑测试用例总数(个)*100% 【数据来源】:《XXX项目测试用例文档》 【计算结果】:用例通过率=92% 3.2需求覆盖率 【需求覆盖率】计算项目已经实现的需求和实际应当实现的需求总数之比。 【计算公式】∑项目已实现需求数(个) / ∑项目实际实现需求数(个) *100% 【数据来源】《XXX项目的需求跟踪矩阵》、《XXX项目的软件需求规格说明书》 说明:在项目的需求跟踪矩阵表中,对于那些需求已经实现,哪些需求未实现是有记录的,因此在进行需求覆盖率统计的时候,对于已经实现功能的数据统计就是从表格中抽取。 【计算结果】项目需求覆盖率=项目实现的需求数/项目应实现的需求总数 3.3缺陷修复率 【缺陷修复率】计算状态为“已关闭”的缺陷总数除以有效缺陷总数。 说明:有效缺陷总数=“打开”+“重新打开” 【公式】:∑修复(关闭)的缺陷数量(个) / ∑有效缺陷数量(个) 【数据来源】:从项目的缺陷管理系统中统计数据: 【计算结果】:缺陷修复率=206/216*100%=95%
《信息系统安全等级保护定级报告》
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作
为整个系统的分系统分别进行定级、备案。 (三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
信息系统安全等级保护测评报告
报告编号:( -16-1303-01)信息系统安全等级测评报告
说明: 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号,由2段16位数字组成,可以从公 +安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。 第二组为年份,由2位数字组成。例如09代表2009年。 第三组为测评机构代码,由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为,12为,13为,14为,15为,21为,22为,23为,31为,32为,33为,34为,35为,36为,37为,41为,42为,43为,44为,45为,46为,50为,51为,52为,53为,54为,61为,62为,63为,64为,65为,66为兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表 注:单位代码由受理测评机构备案的公安机关给出。
声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。 本报告中给出的测评结论不能作为对信息系统部署的相关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关容擅自进行增加、修改和伪造或掩盖事实。
心理测评报告模板
《卡特尔十六种人格因素测验》测评报告 姓名 : 俊鸿分组号 : 性别 : 男 民族 : 未填写职务 : 出生日期 : 1970-10-1 任教课程 : 未填写年级 : 未填写班级 : 未填写 备注 : 测验简介: 《卡特尔十六种人格因素测验》( Cattell Sixteen Personality Factors Questionnaire, 简称 16PF )是用来测量人格特质的。该测验由美国伊利诺州立大学人格及能力测验研究所( Institute of personality and Ability Testing )的卡特尔教授( Raymend )所编制的。卡特尔多年从事人格心理学研究,曾根据测验统计、人格心理、行为辅导与诊疗等方面的科学研究,编订了许多精确可靠的测验。 16PF 与其他类似的测验相较,能以同等的时间(约四十分钟)测量更多方面主要的人格特性。 具体来说, 16PF 直接测量的 16 种人格特征包括: 1 .乐群性( A ):描述是否愿意与人交往,待人是否热情; 2 .聪慧性( B ):描述抽象思维能力,聪明程度; 3 .稳定性( C ):描述对挫折的忍受能力,能否做到情绪稳定; 4 .支配性( E ):描述是否愿意支配和影响他人,是否愿意领导他人; 5 .兴奋性( F ):描述情绪的兴奋和活跃程度; 6 .责任性( G ):描述对社会道德规范和准则的接纳和自觉履行程度; 7 .敢为性( H ):描述在社会交往情境中的大胆程度; 8 .敏感性( I ):描述敏感程度,即判断和决定是否容易受到感情的影响; 9 .怀疑性( L ):描述是否倾向于探究他人言行举止之后的动机; 10 .幻想性( M ):描述对客观环境和内在的想象过程的重视程度; 11 .世故性( N ):描述是否能老练、灵活地处理事物; 12 .忧虑性( O ):描述体验到的烦恼和忧郁程度; 13 .开放性( Q1 ):描述对新鲜事物的接受和适应程度; 14 .独立性( Q2 ):描述独立程度,亦即对群体的依赖程度; 15 .自律性( Q3 ):描述自我克制,自我激励的程度; 16 .紧张性( Q4 ):描述生活和内心的不稳定程度,以及相关的紧张感。 除直接测量这 16 种人格特征外,卡特尔教授等人还发展出了一系列公式,利用前面 16 个量表的分数以及这些公式,还可以计算出一些二元人格特征,主要包括: 1 .适应性与焦虑性:描述对现在环境的适应程度,是否感到焦虑不满; 2 .内外向:描述性格特征的内向或者外向程度; 3 .感情用事与安详机警性:描述个体的情绪困扰程度,以及进取精神; 4 .怯懦与果敢性:描述做事情时的犹豫或者果断程度; 《卡特尔十六种人格因素测验》已被译成多种文字,是世界上使用非常广泛的人格测验。我国研究者也对测验进行了修订,使之更适合我国的国情,经检验,该测验具有良好的信度及效度。可广泛应用于心理咨询、人员选拔和职业指导等各个环节,为人事决策和人事诊断提供个人心理素质的参考依据。 15 岁以上中学生和所有具备小学阅读水平的青年、壮年和老年人都可以适用。 分数:
医院信息系统安全等级保护定级报告
医院信息系统安全等级保护定级报告 一、医院信息系统描述 (一)医院于2008年起逐步建立基于医院信息管理、电子病历的信息系统,该信息系统由医院负责系统管理运维,医院为该信息系统定级的责任单位。 (二)该信息系统使用了7台HP服务器,安装有Window2003 Server操作系统,Mysql数据库,用于医院信息管理系统的运行。使用了5台HP服务器,安装有Window 2003 Server操作系统,用于新农合即时结报平台的运行。医院在内外网之间搭建有天融信防火墙,门诊二楼安有用于无线终端连接内网的两个无线AP,各科室配有连接医院内网的终端计算机。 (三)该信息系统主要包含:医院信息管理系统(HIS),电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。 二、医院信息系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。 旨在保障医院业务正常运行,提高工作效率,增强院务透明度,扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。
3、信息受到破坏后对侵害客体的侵害程度 当此信息受到破坏后,会对患者、医院和医院职工造成严重损害。 4、确定业务信息安全等级 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的日常运行,日常办公活动正常开展和提供医疗咨询等服务。 2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也会损害社会秩序和公共利益但不侵害国家安全。 客观方面表现的侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务 能力下降,造成不良影响,引起医患法律纠纷等)。可以对社会秩序和公共利益造成一般的损害(造成社会不良影响,引起公共利益的损害等)。 3、信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为:患者、医院和医院职工的合法权益造成损害,会出现一定范围的社会不良影响和一定程度的公共利益的损害等。 4、确定系统服务安全等级 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为第二级。 (三)安全保护等级的确定
信息系统安全等级保护等级测评报告模板【等保2.0】
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX 网络安全等级保护 [被测对象名称]等级测评报告 等保2.0 委托单位: 测评单位: 报告时间:年月
网络安全等级测评基本信息表
声明 【填写说明:声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。】本报告是[被测对象名称]的等级测评报告。 本报告是对[被测对象名称]的整体安全性进行检测分析,针对等级测评过程中发现的安全问题,结合风险分析,提出合理化建议。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测对象当时的安全状态有效。当测评工作完成后,由于被测对象发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。 本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 单位名称(加盖单位公章) 年月日
等级测评结论 【填写说明:此表描述等级保护对象及等级测评活动中的一般属性。包括被测对象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得分。如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源),则需要增加云计算安全扩展表或大数据安全扩展表。】
等级测评结论扩展表(云计算安全) 【填写说明:此表描述与云计算(包括平台/系统)相关的扩展信息。云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统,此处为单选。运维所在地用于明确云计算服务的后台技术管理者所在位置,方便公安机关监管。云服务模式用于明确被测对象所采用的服务模式,此处为单选。注意,一个云计算平台可能有多种服务模式,每种服务模式单独构成一个定级系统,对应一份定级报告及一份等级测评报告。云计算服务安全能力评价用于评价当前服务模式下云计算平台为云服务客户提供的服务的安全能力。云计算平台可能有多种服务模式,每种服务模式下会提供不同的服务,此处应只填写被测对象当前服务模式下提供的服务列表。】
测试报告模板
[软件名称]测试报告 [AAA] YYYY年MM月
标识: XXXXXXXXXXXXX 签署页 角色姓名日期 拟制 标准化 审核 批准
标识号: XXXXXXXXXX 目录 1 范围.................................................. 错误!未定义书签。 标识.................................................. 错误!未定义书签。 系统概述.............................................. 错误!未定义书签。 文档概述.............................................. 错误!未定义书签。 2 引用文档.............................................. 错误!未定义书签。 3 测试概述.............................................. 错误!未定义书签。 [软件名称]系统测试 ................................... 错误!未定义书签。 系统测试过程和结果说明.............................. 错误!未定义书签。 系统测试回归过程和结果.............................. 错误!未定义书签。 系统测试小结........................................ 错误!未定义书签。 4 测试结果.............................................. 错误!未定义书签。 问题描述.............................................. 错误!未定义书签。 典型问题.............................................. 错误!未定义书签。 典型问题1 .......................................... 错误!未定义书签。 典型问题2 .......................................... 错误!未定义书签。 5 软件质量评价结论...................................... 错误!未定义书签。 遗留未处理问题的影响及其风险 ......................... 错误!未定义书签。 软件质量评价结论...................................... 错误!未定义书签。附件1系统测试问题报告.................................. 错误!未定义书签。附件2系统测试问题处理报告.............................. 错误!未定义书签。附件3系统测试用例执行记录清单.......................... 错误!未定义书签。附件4回归测试用例执行记录清单.......................... 错误!未定义书签。
信息系统安全等级保护测评报告
报告编号:(-16-1303-01)信息系统安全等级测评报告
说明: 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号,由2段16位数字组成,可以从公 +安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。 第二组为年份,由2位数字组成。例如09代表2009年。 第三组为测评机构代码,由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表 注:单位代码由受理测评机构备案的公安机关给出。
声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。 本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
测试报告模板
(项目名称) 测试报告 测试执行人员签:___________ _ 测试负责人签字:__________ __ _ 开发负责人签字:_________ ___ _ 项目负责人签字:________ ____ _ 研发部经理签字:_______ _ _____ XXXXXXXXXXX公司软件测试组 XXXX年XX月
目录 1 测试概要 (1) 1.1 项目信息 (1) 1.2 测试阶段 (1) 2 测试结果 (1) 2.1 测试结论 (1) 2.2 测试总结 (1) 3 测试环境 (2) 3.1 系统拓扑图 (2) 3.2 环境详细信息 (2) 4 测试分析 (3) 4.1 测试进度总结 (3) 4.2 测试需求覆盖情况 (3) 5 缺陷统计与分析 (4) 5.1 按功能模块划分 (4) 5.2 按状态分布 (4) 5.3 缺陷收敛情况 (5) 5.4 遗留缺陷 (5) 6 建议 (5)
1 测试概要 1.1 项目信息 1.2 测试阶段 [描述测试所处阶段,描述本次系统测试是第几轮和所涵盖的测试类型。如下示例] 本次测试属于系统测试第一轮,测试类型包括:安装测试、功能测试、易用性测试、安全性测试、兼容性测试、文档测试、性能测试和稳定性测试。 2 测试结果 2.1 测试结论 [说明本轮测试完成后,是否存在遗留问题,是否通过测试,是否测试通过。] 2.2 测试总结 [对本次验收测试工作进行总结。]
3 测试环境 3.1 系统拓扑图 [使用Visio画出本次验收测试的测试环境框图。如下示例:] 3.2 环境详细信息 [列出本次验收测试使用到的所有软硬件设备信息,列表内容应该包含测试环境框图中的所有软硬件。]
等级保护定级专家评审申请报告范本
附件1 X市邮政金融网信息系统 信息安全等级专家评审申请报告 (示例,试用参考版本) 申报单位:(盖章) 申报日期: 受理单位:市经济和信息化委员会 受理日期: 二零零×年××月
目录 填写说明 (1) 1 单位基本情况 (3) 2 申请评审的信息系统汇总表 (4) 3 信息系统划分 (5) 3.1 管理机构 (5) 3.2 网络结构 (5) 3.3 业务应用 (6) 3.4 信息系统划分结果 (6) 4 邮政金融网中间业务系统自定级报告 (8) 5 邮政综合计算机网系统自定级报告 (13) 6 系统使用的安全产品清单及认证、销售许可证明 (14)
填写说明 1、填报依据。根据《省信息安全等级保护管理办法》(省政府令223号)和《省信息安全等级评审实施细则》之规定制作本表。 2、填报围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。 3、申报方式。本报告一式五份,由申请单位向受理申请的信息化机构提交。同时将电子版本申请材料发电子:nbjwyqh163.。 4、单位基本情况表:单位负责人,是指主管本单位信息安全工作的领导;责任部门,是指单位负责信息系统安全工作的部门;隶属关系,是指信息系统运营使用单位与上级行政机构的从属关系。 5、系统自定级报告:是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。 6、系统使用的安全产品清单及认证、销售许可证明:是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型(功能)产品中该产品的使用率等信息。 7、信息系统定级评审专家意见表:由参加评审的专家组填写。 8、重要提示。本报告模板第8、9页的蓝色标记部分,属于定级工作
信息系统安全等级保护定级报告
附件2: 《信息系统安全等级保护定级报告》 一、易财经描述 (一)该系统于 2018年投入运营,开发服务商为广州致仪计算机软件科技有限公司。目前该信息系统由广州致仪计算机软件科技有限公司技术部负责运行维护。广州致仪计算机软件科技有限公司技术部是该系统业务的主管部门,广州致仪计算机软件科技有限公司总经办为该信息系统定级的责任单位。 (二)该信息系统部署在阿里云云服务器ECS。由主机服务器、网络设备、防火墙设备、存储系统及其相关的配套的设备、设施构成的,是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 易财经服务器mysql数据库由2台阿里云云服务器ECS E5互为备份,同时接入校园网络中心机房。实现校内、校外全天侯工作的功能。该系统的外部网部络和内部网络部分都是等级保护定级的范围和对象。 (三)该信息系统目前承载的主要业务包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。系统针对业务的
差异分别提供联机处理和批量处理两种方式。 二、易财经系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。 2、业务信息受到破坏时所侵害客体的确定(根据实际描述) 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定(根据实际描述) 上述结果的程度表现为严重损害,即工作职能受到严重