信息系统安全等级测评报告模版(试行)(公信安[2009]1487)
信息系统安全等级测评报告
信息系统安全等级测评报告
一、测评概述
本次测评的信息系统为[信息系统名称],其承担着[主要业务功能]。
测评目的是全面评估该系统的安全状况,确定其安全等级,为后续的安全管理和改进提供依据。
二、测评依据
[列出相关的法律法规、标准规范等]
三、系统描述
(一)系统架构
详细描述系统的硬件架构、网络拓扑、软件架构等。
(二)业务流程
介绍系统主要的业务处理流程。
(三)数据存储与处理
说明数据的存储方式、处理方式及重要数据的范围。
四、安全措施评估
(一)物理安全
包括机房环境、访问控制等方面的评估。
(二)网络安全
防火墙配置、网络访问控制、入侵检测等措施的分析。
(三)系统安全
操作系统、数据库的安全配置情况。
(四)应用安全
应用系统的身份验证、授权、数据完整性等方面的评估。
(五)数据安全
数据备份与恢复策略、加密措施等的考察。
五、安全漏洞与风险分析
(一)漏洞扫描结果
列出发现的安全漏洞及其严重程度。
(二)风险评估
对漏洞可能导致的风险进行分析和评估。
六、测评结论
(一)安全等级确定
根据测评结果,确定系统的安全等级。
(二)安全状况评价
对系统整体安全状况进行评价,指出优势与不足。
七、改进建议
(一)针对漏洞和风险的具体建议。
(二)安全管理方面的建议,如制度完善、人员培训等。
(三)技术措施改进建议,如安全产品升级等。
八、附录
(一)相关证明材料,如测评记录、漏洞扫描报告等。
(二)其他需要补充说明的内容。
信息系统安全等级测评报告模版
附件:报告编号:XXXXXXXXX-XXXXX-XX-XXXX-XX信息系统安全等级测评报告模版系统名称:委托单位:测评单位:报告时间:年月日说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。
第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。
第二组为年份,由2位数字组成。
例如09代表2009年。
第三组为测评机构代码,由四位数字组成。
前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
)本报告是xxx信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
信息系统安全等级保护测评报告
信息系统安全等级保护测评报告一、根据相关规范和标准的要求,依据信息系统安全等级保护测评的实施细则,对我司信息系统进行了全面深入的安全等级保护测评。
测试范围包括了我司内部各类信息系统和网络设备,以及外部对接的系统接口和服务。
二、检测结果显示,我司信息系统在整体上安全等级保护良好,但仍存在一些安全风险和隐患。
具体表现为:1. 网络防火墙规则配置不规范,存在风险可导致网络攻击和数据泄露。
2. 部分服务器和终端设备存在未及时更新的安全补丁,存在被攻击的风险。
3. 存在未经授权的外部设备接入内部网络的情况,易导致网络攻击和数据泄露。
4. 存在用户密码管理不规范的情况,易导致账号被盗用或密码泄露。
三、针对上述安全隐患,我们建议采取以下措施进行安全风险治理:1. 对网络防火墙规则进行调整和优化,加强对外部攻击的防范和阻隔。
2. 加强服务器和终端设备的安全管理,及时更新安全补丁,防范漏洞攻击。
3. 加强对内部设备和设备接入的管控,限制外部设备接入内部网络的权限。
4. 强化用户密码管理,推行密码定期更换和复杂度管理,加强账号安全保护。
四、整体而言,我们的信息系统安全等级保护工作具有一定基础,并且具备较强的安全保护意识和风险管理能力。
但仍需持续加强系统安全等级保护管理和监控,及时发现和治理安全风险,确保信息系统的安全可靠性和稳定性。
由于信息系统安全防护工作的重要性和复杂性,我们需要对整个信息系统进行全面梳理和改进。
首先,我们需要建立一个完善的信息系统安全管理体系,包括制定安全策略和规范、建立安全事件应急响应机制、加强安全培训和意识教育等。
其次,加强对系统的持续监测和评估,及时发现系统潜在的安全风险并加以修复。
最后,我们需要提高员工的安全意识和保护能力,建立安全文化,使每一个员工都成为信息系统安全的守护者。
在实施安全等级保护措施时,我们需要确保安全性与便捷性之间的平衡。
因为过于严格的安全策略可能会影响用户的工作效率,降低系统的可用性。
信息安全等级保护测评报告模版
信息安全等级保护测评报告模版嘿,朋友们,今天咱们聊聊信息安全等级保护测评报告。
听起来是不是有点高大上?其实吧,咱们的生活中,信息安全无处不在,就像空气一样,看不见摸不着,但没了可就麻烦了。
想想你的手机,里面存着多少重要的东西,银行信息、通讯记录,还有那珍贵的自拍照。
谁都不想这些东西被人“偷”去,对吧?先说说啥是信息安全等级保护。
简单来说,就是为了保护信息不被坏人拿走、损坏或者泄露,国家专门设定了一套规则。
就像有些地方必须佩戴安全帽、系好安全带,保护措施总是要跟上。
你想,信息安全也得有个“保护罩”,不然就像一只没盖的鸡蛋,随时可能被摔碎。
接下来咱们来聊聊这个测评报告,它就像是个健康检查,给你的信息系统做个全面的“体检”。
通过这些测评,能知道你的信息保护得怎么样,是不是像个坚不可摧的堡垒,还是像个豆腐渣工程。
测评的内容其实挺多的,涉及到设备、网络、应用等等,像个大拼图,缺一不可。
报告里首先得有个概述,告诉大家这次测评的背景、目的和方法。
这就像开场白,给人个大概念。
接着得详细描述一下被测评的系统和环境,这可是重头戏,谁都想知道自己的系统是不是强大无比,或者说“这小子实在不怎么样”。
想象一下,如果你的家有个无敌的安防系统,那真是倍儿有面子,邻居都得羡慕。
然后,得有评估结果,这个部分就像成绩单,真是让人期待又紧张。
系统的安全性、可用性、可靠性……哎呀,听上去有点复杂,但其实就是在说这个系统到底能不能让人放心。
好比你买个新手机,包装好看、功能全,但用起来要是老是卡,那就是白搭。
再接下来就是发现的问题和风险,这部分可得认真看。
没事,发现问题是好事,说明你还在进步。
就像考试时,错题都是学习的机会,找到了问题才能对症下药,解决它。
这就像你穿的新鞋,有时候磨脚,你得找出原因,是鞋太小了,还是袜子没选对。
解决了问题,才能穿得舒舒服服。
最后嘛,报告里得有点建议,这些都是为了让你的信息系统更安全。
就像医生给你开的处方,不能光说“你病了”,还得告诉你怎么治。
信息系统安全等级测评报告
信息系统安全等级测评报告一、引言信息系统的安全性在当今数字化时代变得尤为重要。
随着网络攻击手段的日益复杂和恶意行为的增加,企业和组织需要通过对信息系统进行安全等级测评来保护自身的数据和资产。
本报告旨在对所评测的信息系统进行全面的安全性评估,以便提供相关决策和建议。
二、背景介绍本次测评的信息系统是一家大型企业的内部系统,该系统用于存储和处理大量的敏感业务数据,包括客户信息、财务数据等。
由于该系统的重要性,对其安全性进行测评具有重要意义。
三、测评目标本次测评的主要目标是评估信息系统的安全等级,并发现系统中存在的潜在安全风险和漏洞。
针对这些风险和漏洞,我们将提出相应的安全改进建议,以保障信息系统的安全性和完整性。
四、测评方法为了评估信息系统的安全等级,我们采用了以下方法:1. 收集资料:收集与该系统相关的技术文档、安全策略、事件日志等。
2. 系统审查:对系统的结构、组件、功能进行全面审查,了解系统的运作方式、数据流程以及可能存在的安全漏洞。
3. 漏洞扫描:使用专业的漏洞扫描工具对系统进行扫描,发现可能存在的漏洞和弱点。
4. 渗透测试:通过模拟实际攻击行为,测试系统对各种攻击方式的抵御能力。
5. 数据分析:对收集到的资料和测试结果进行分析,评估系统的安全等级。
五、测评结果根据我们的测评结果,该信息系统在许多方面表现出了较高的安全性。
系统的访问控制和身份认证机制均得到有效实施,减少了未经授权的访问风险。
此外,系统的网络通信采用了加密协议,保证了数据传输的机密性。
然而,在测评过程中我们也发现了一些潜在的安全风险和漏洞。
具体包括:1. 弱口令:系统中存在一些用户账号使用弱口令的情况,这增加了系统被破解的风险。
2. 未及时更新补丁:某些系统组件的软件版本存在较老的漏洞,未及时安装相关补丁程序导致系统容易受到已知攻击的威胁。
3. 缺乏事件监测:系统缺乏足够的事件监测工具,难以及时识别和响应潜在的安全事件。
基于上述发现的安全风险和漏洞,我们建议:1. 强制使用强密码:要求所有用户在设置密码时采用符合安全要求的复杂密码,增加系统安全性。
信息系统安全等级保护测评报告
信息系统安全等级保护测评报告概述本文档旨在对信息系统的安全等级保护进行测评,为组织提供详细的安全等级评估报告。
通过对信息系统进行分析和评估,可以发现系统中存在的安全风险和漏洞,并提供相应的安全建议和解决方案。
测评方法本次测评采用了以下几种常见的安全评估方法:1.漏洞扫描:使用专业的漏洞扫描工具对系统进行端口扫描和漏洞检测,识别系统中存在的安全漏洞。
2.安全配置审计:通过分析系统的配置文件和日志文件,评估系统的安全配置是否符合最佳实践,识别潜在的配置安全风险。
3.代码审计:对系统的核心代码进行审计,检查代码中是否存在安全漏洞和不安全的编码实践。
4.安全意识培训:通过针对组织内部员工的安全意识培训,提高员工的安全意识和防范能力,减少社交工程等人为因素对系统安全的影响。
5.网络流量分析:对系统的网络流量进行分析,检测是否存在异常的网络行为和入侵攻击。
测评结果经过对信息系统的安全测评,以下是我们得到的主要结论:1.系统存在安全漏洞:通过漏洞扫描工具的测试结果显示,系统中存在多个已知的安全漏洞,这些漏洞可能被攻击者利用来获取系统权限或者篡改系统数据。
2.配置安全风险:部分系统的安全配置未按照最佳实践进行设置,存在潜在的安全风险。
比如,弱密码策略、未开启安全日志记录等。
3.代码安全问题:代码审计发现系统中存在部分代码编写不当的情况,如未对用户输入进行充分的验证和过滤,存在SQL注入和跨站脚本攻击的风险。
4.员工意识不足:安全意识培训结果显示,部分员工对安全意识和操作规范的理解不够,容易受到社交工程等攻击手段的影响。
5.未发现异常网络行为:经过对系统的网络流量进行分析,未发现异常的网络流量和入侵行为。
安全建议和解决方案根据上述测评结果,我们提出以下安全建议和解决方案:1.及时修复漏洞:针对系统中发现的安全漏洞,及时修复并升级相应的软件和组件,以免被攻击者利用。
同时建议定期进行漏洞扫描,及时发现新的漏洞,并进行修复。
信息系统安全等级测评报告模板(试行)
信息系统安全等级测评报告模板(试行)信息系统安全等级测评报告模版(试行)系统名称:被测单位:测评单位:报告时间:年月日说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由11 位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得,即证书编号的前11 位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号)。
第二组为年份,由2 位数字组成。
例如 09 代表xx 年。
第三组为测评机构代码,由四位数字组成。
前两位为省级行政区划数字代码的前两位或行业主管部门编号:00 为公安部,11 为北京,12 为天津,13为河北,14为山西,15为内蒙古,21 为辽宁,22 为吉林,23 为黑龙江,31 为上海,32 为江苏,33 为浙江,34 为安徽,35 为福建,36 为江西,37 为山东,41 为河南,42 为湖北,43 为湖南,44 为广东,45 为广西,46 为海南,50 为重庆,51 为四川,52 为贵州,53 为云南,54 为西藏,61 为陕西,62 为甘肃,63 为青海,64 为宁夏,65 为新疆,66 为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如 02 表示该信息系统本年度测评2次。
信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联系人姓名职务 /职称所属部门办公电话移动电话电子邮件测评单位单位名称单位代码通信地址邮政编码联系人姓名职务 /职称所属部门办公电话移动电话电子邮件审核批准编制人 (签名 )编制日期审核人 (签名 )审核日期批准人 (签名 )批准日期注:单位代码由受理测评机构备案的公安机关给出。
声明(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
信息系统安全等级测评报告模版p
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
邮政编码联 系 人姓名职务/职称所属部门
办公电话
移动电话
电子邮件
审核批准
编制人
(签名)
编制日期
审核人
(签名)
审核日期
批准人
(签名)
批准日期
注:单位代码由受理测评机构备案的公安机关给出。
声明
(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。)
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
报告摘要
信息系统等级测评基本信息表
信息系统安全等级测评报告模版p
信息系统安全等级测评报告
模版
系统名称:
被测单位:
测评单位:
报告时间:年 月 日
信息系统等级测评基本信息表
信息系统
系统名称
安全保护等级
备案证明编号
测评结论
被测单位
单位名称
单位地址
邮政编码
联 系 人
姓 名
职务/职称
所属部门
办公电话
移动电话
电子邮件
测评单位
单位名称
单位代码
通信地址
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安部信息安全等级保护评估中心报告编号:(XXXXXXXXXXX-XX-XXXX-XX)信息系统安全等级测评报告模版(试行)系统名称:被测单位:测评单位:报告时间:年月日说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由11位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得,即证书编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号)。
第二组为年份,由2位数字组成。
例如09代表2009年。
第三组为测评机构代码,由四位数字组成。
前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为北京,12为天津,13为河北,14为山西,15为内蒙古,21为辽宁,22为吉林,23为黑龙江,31为上海,32为江苏,33为浙江,34为安徽,35为福建,36为江西,37为山东,41为河南,42为湖北,43为湖南,44为广东,45为广西,46为海南,50为重庆,51为四川,52为贵州,53为云南,54为西藏,61为陕西,62为甘肃,63为青海,64为宁夏,65为新疆,66为新疆兵团。
90为国防科工局,91为电监会,92为教育部。
后两位为公安机关或行业主管部门推荐的测评机构顺序号。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
报告编号[2009版]声明(声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
)本报告是xxx信息系统的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
目录信息系统等级测评基本信息表声明报告摘要 (I)1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发范围 (1)2被测信息系统情况 (2)2.1承载的业务情况 (2)2.2网络结构 (2)2.3系统构成 (2)2.3.1业务应用软件 (2)2.3.2关键数据类别 (2)2.3.3主机/存储设备 (3)2.3.4网络互联设备 (3)2.3.5安全设备 (3)2.3.6安全相关人员 (3)2.3.7安全管理文档 (4)2.4安全环境 (4)2.5前次测评情况 (4)3等级测评范围与方法 (4)3.1测评指标 (4)3.1.1基本指标 (4)3.1.2特殊指标 (5)3.2测评对象 (5)3.2.1测评对象选择方法 (5)3.2.2测评对象选择结果 (5)3.3测评方法 (7)4单元测评 (8)4.1物理安全 (8)4.1.1结果记录 (8)4.1.2结果汇总 (8)4.1.3问题分析 (8)4.2网络安全 (9)4.2.1结果记录 (9)4.2.2结果汇总 (9)4.2.3问题分析 (9)4.3主机安全 (9)4.3.1结果记录 (9)4.3.2结果汇总 (9)4.3.3问题分析 (9)4.4应用安全 (9)4.4.1结果记录 (9)4.4.2结果汇总 (9)4.4.3问题分析 (9)4.5数据安全及备份恢复 (9)4.5.1结果记录 (9)4.5.2结果汇总 (9)4.5.3问题分析 (9)4.6安全管理制度 (9)4.6.1结果记录 (9)4.6.2结果汇总 (9)4.6.3问题分析 (9)4.7安全管理机构 (9)4.7.1结果记录 (9)4.7.2结果汇总 (9)4.7.3问题分析 (9)4.8人员安全管理 (10)4.8.1结果记录 (10)4.8.2结果汇总 (10)4.8.3问题分析 (10)4.9系统建设管理 (10)4.9.1结果记录 (10)4.9.2结果汇总 (10)4.9.3问题分析 (10)4.10系统运维管理 (10)4.10.1结果记录 (10)4.10.2结果汇总 (10)4.10.3问题分析 (10)5整体测评 (11)5.1安全控制间安全测评 (11)5.2层面间安全测评 (11)5.3区域间安全测评 (11)5.4系统结构安全测评 (11)6测评结果汇总 (12)7风险分析和评价 (13)8等级测评结论 (14)9安全建设整改建议 (15)报告编号/项目名称[2009版]报告摘要(建议不超过800字)简要描述被测信息系统的名称、安全等级、承载的业务等基本情况。
简要描述测评范围和主要内容。
简要描述测评指标的符合性情况,给出测评结论(包括符合、基本符合和不符合)。
简要描述测评中发现的主要问题和危害,并提出安全建设整改建议。
1测评项目概述1.1测评目的1.2测评依据列出开展测评活动所依据的文件、标准和合同等。
1.3测评过程描述等级测评工作流程,包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。
1.4报告分发范围说明等级测评报告正本的份数与分发范围。
2被测信息系统情况参照备案信息简要描述信息系统。
2.1承载的业务情况描述信息系统承载的业务、应用等情况。
2.2网络结构给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。
2.3系统构成2.3.1业务应用软件以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
2.3.2关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。
1依据《信息系统安全等级测评过程指南》判定2.3.3主机/存储设备以列表形式给出被测信息系统中的主机设备,描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。
2.3.4网络互联设备以列表形式给出被测信息系统中的网络互联设备。
2.3.5安全设备以列表形式给出被测信息系统中的安全设备。
2.3.6安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。
相关人员包括(但不限于)安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。
2.3.7安全管理文档以列表形式给出与信息系统安全相关的文档,包括管理类文档、记录类文档和其他文档。
2.4安全环境描述被测信息系统的运行环境中与安全相关的部分,并以列表形式给出被测信息系统的威胁列表并赋值。
威胁赋值是基于历史统计或者行业判断进行的,具体内容可参考《风险评估规范》。
2.5前次测评情况简要描述前次等级测评发现的主要问题和测评结论。
3等级测评范围与方法3.1测评指标测评指标包括基本指标和特殊指标两部分。
3.1.1基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择《基本要求》中对应级别的安全要求作为等级测评的基本指标。
鉴于信息系统的复杂性和特殊性(如某些信息系统未部署数据库服务器),基本指标中可能存在部分不适用项,可以在单元测评时进行识别。
3.1.2特殊指标结合行业和系统的实际,以列表形式给出《基本要求》未覆盖或者高于《基本要求》的安全要求。
3.2测评对象3.2.1测评对象选择方法描述测评对象的选择规则和方法。
3.2.2测评对象选择结果1)机房2)业务应用软件1安全分类对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。
2安全子类是对安全分类的进一步细化,在《基本要求》目录级别中对应安全分类的下一级目录。
3)主机(存储)操作系统4)数据库管理系统5)网络互联设备操作系统6)安全设备操作系统7)访谈人员8)安全管理文档3.3测评方法描述等级测评工作中采用的访谈、检查、测试和风险分析等方法。
4单元测评等级测评内容包括“3.1测评指标”中涉及的物理安全、网络安全、主机安全等10个安全分类,具体内容由结果记录、问题分析和结果汇总等三部分构成。
4.1物理安全4.1.1结果记录以表格形式给出物理安全的现场测评结果。
4.1.2结果汇总针对不同测评指标子类对物理安全的单项测评结果进行汇总和统计。
4.1.3问题分析针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析,形成安全问题描述。
4.2网络安全4.2.1结果记录4.2.2结果汇总4.2.3问题分析4.3主机安全4.3.1结果记录4.3.2结果汇总4.3.3问题分析4.4应用安全4.4.1结果记录4.4.2结果汇总4.4.3问题分析4.5数据安全及备份恢复4.5.1结果记录4.5.2结果汇总4.5.3问题分析4.6安全管理制度4.6.1结果记录4.6.2结果汇总4.6.3问题分析4.7安全管理机构4.7.1结果记录4.7.2结果汇总4.7.3问题分析4.8人员安全管理4.8.1结果记录4.8.2结果汇总4.8.3问题分析4.9系统建设管理4.9.1结果记录4.9.2结果汇总4.9.3问题分析4.10系统运维管理4.10.1结果记录4.10.2结果汇总4.10.3问题分析5整体测评从安全控制间、层面间、区域间和系统结构等方面对单元测评的结果进行验证、分析和整体评价。
具体内容参见《信息安全技术信息系统安全等级保护测评要求》。
5.1安全控制间安全测评5.2层面间安全测评5.3区域间安全测评5.4系统结构安全测评6测评结果汇总一是以表格形式汇总测评结果。
表格以不同颜色对测评结果进行区分,部分符合的安全子类采用黄色标识,不符合的安全子类采用红色标识。
二是以柱状图形式统计不同设备和安全子类的测评结果。
三是以表格形式汇总信息系统中存在的安全问题。
报告编号[2009版]7风险分析和评价依据等级保护的相关规范和标准,采用风险分析的方法分析信息系统等级测评结果中存在的安全问题(等级测评结果中部分符合项或不符合项的汇总结果)可能对信息系统安全造成的影响。
分析过程包括:1)判断安全问题被威胁利用的可能性,可能性的取值范围为高、中和低;2)判断安全问题被威胁利用后,对信息系统安全(业务信息安全和系统服务安全)造成的影响程度,影响程度取值范围为高、中和低;3)综合1)和2)的结果对信息系统面临的安全风险进行赋值,风险值的取值范围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。