GB/T 28449—2018 信息安全技術 網絡安全等級保護測評過程指南附 錄 F (資料性附錄) 等級測評報告模版示例
以下為2015版等級測評報告模版示例,僅供參考。測評機構在開展等級測評工作出具等級測評報告時,請依據公安部要求,依據最新發布的報告模版版本編制。
F.1 封面
報告編號:XXXXXXXXXXX-XXXXX-XX-XXXX-XX
信息系統安全等級測評報告
模版(2015年版)
系統名稱:
委托單位:
測評單位:
報告時間:**年月日**
F.2 說明
一、每個備案信息系統單獨出具測評報告。
二、測評報告編號為四組數據。各組含義和編碼規則如下:
第一組為信息系統備案表編號,由2段16位數字組成,可以從公安機關頒發的信息系統備案證明(或備案回執)上獲得。第1段即備案證明編號的前11位(前6位為受理備案公安機關代碼,后5位為受理備案的公安機關給出的備案單位的順序編號);第2段即備案證明編號的后5位(系統編號)。
第二組為年份,由2位數字組成。例如09代表2009年。
第三組為測評機構代碼,由四位數字組成。前兩位為省級行政區劃數字代碼的前兩位或行業主管部門編號:00為公安部,11為北京,12為天津,13為河北,14為山西,15為內蒙古,21為遼寧,22為吉林,23為黑龍江,31為上海,32為江蘇,33為浙江,34為安徽,35為福建,36為江西,37為山東,41為河南,42為湖北,43為湖南,44為廣東,45為廣西,46為海南,50為重慶,51為四川,52為貴州,53為云南,54為西藏,61為陜西,62為甘肅,63為青海,64為寧夏,65為新疆,66為新疆兵團。90為國防科工局,91為電監會,92為教育部。后兩位為公安機關或行業主管部門推薦的測評機構順序號。
第四組為本年度信息系統測評次數,由兩位構成。例如02表示該信息系統本年度測評2次。
F.3 信息系統等級測評基本信息表
F.4 聲明
(聲明是測評機構對測評報告的有效性前提、測評結論的適用范圍以及使用方式等有關事項的陳述。針對特殊情況下的測評工作,測評機構可在以下建議內容的基礎上增加特殊聲明。)
本報告是xxx信息系統的等級測評報告。
本報告測評結論的有效性建立在被測評單位提供相關證據的真實性基礎之上。
本報告中給出的測評結論僅對被測信息系統當時的安全狀態有效。當測評工作完成后,由于信息系統發生變更而涉及到的系統構成組件(或子系統)都應重新進行等級測評,本報告不再適用。
本報告中給出的測評結論不能作為對信息系統內部署的相關系統構成組件(或產品)的測評結論。
在任何情況下,若需引用本報告中的測評結果或結論都應保持其原有的意義,不得對相關內容擅自進行增加、修改和偽造或掩蓋事實。
單位名稱(加蓋單位公章)
年 月
F.5 等級測評結論
F.6 總體評價
根據被測系統測評結果和測評過程中了解的相關信息,從用戶角度對被測信息系統的安全保護狀況進行評價。例如可以從安全責任制、管理制度體系、基礎設施與網絡環境、安全控制措施、數據保護、系統規劃與建設、系統運維管理、應急保障等方面分別評價描述信息系統安全保護狀況。
綜合上述評價結果,對信息系統的安全保護狀況給出總括性結論。例如:信息系統總體安全保護狀況較好。
F.7 主要安全問題
描述被測信息系統存在的主要安全問題及其可能導致的后果。
F.8 問題處置建議
針對系統存在的主要安全問題提出處置建議。
F.9 測評項目概述
F.9.1 測評目的
F.9.2 測評依據
列出開展測評活動所依據的文件、標準和合同等。
如果有行業標準的,行業標準的指標作為基本指標。報告中的特殊指標屬于用戶自愿增加的要求項。
F.9.3 測評過程
描述等級測評工作流程,包括測評工作流程圖、各階段完成的關鍵任務和工作的時間節點等內容。
F.9.4 報告分發范圍
說明等級測評報告正本的份數與分發范圍。
F.10 被測信息系統情況
參照備案信息簡要描述信息系統。
F.10.1 承載的業務情況
描述信息系統承載的業務、應用等情況。
F.10.2 網絡結構
給出被測信息系統的拓撲結構示意圖,并基于示意圖說明被測信息系統的網絡結構基本情況,包括功能/安全區域劃分、隔離與防護情況、關鍵網絡和主機設備的部署情況和功能簡介、與其他信息系統的互聯情況和邊界設備以及本地備份和災備中心的情況。
F.10.3 系統資產
系統資產包括被測信息系統相關的所有軟硬件、人員、數據及文檔等。
F.10.3.1 機房
以列表形式給出被測信息系統的部署機房。
| 序號 | 機房名稱 | 物理位置 |
|---|---|---|
F.10.3.2 網絡設備
以列表形式給出被測信息系統中的網絡設備。
| 序號 | 設備名稱 | 操作系統 | 品牌 | 型號 | 用途 | 數量(臺**/**套) | 重要程度 |
|---|---|---|---|---|---|---|---|
| … | … | … | … | … | … | … | … |
F.10.3.3 安全設備
以列表形式給出被測信息系統中的安全設備。
| 序號 | 設備名稱 | 操作系統 | 品牌 | 型號 | 用途 | 數量(臺**/**套) | 重要程度 |
|---|---|---|---|---|---|---|---|
| … | … | … | … | … | … | … | … |
F.10.3.4 服務器/存儲設備
以列表形式給出被測信息系統中的服務器和存儲設備,描述服務器和存儲設備的項目包括設備名稱、操作系統、數據庫管理系統以及承載的業務應用軟件系統。
| 序號 | 設備名稱 | 操作系統**/**數據庫管理系統 | 版本 | 業務應用軟件 | 數量(臺**/**套) | 重要程度 |
|---|---|---|---|---|---|---|
| … | … | … | … | … | … | … |
F.10.3.5 終端
以列表形式給出被測信息系統中的終端,包括業務管理終端、業務終端和運維終端等。
| 序號 | 設備名稱 | 操作系統 | 用途 | 數量(臺**/**套) | 重要程度 |
|---|---|---|---|---|---|
| … | … | … | … | … | … |
| | | | | | |
F.10.3.6 業務應用軟件
以列表的形式給出被測信息系統中的業務應用軟件(包括含中間件等應用平臺軟件),描述項目包括軟件名稱、主要功能簡介。
| 序號 | 軟件名稱 | 主要功能 | 開發廠商 | 重要程度 |
|---|---|---|---|---|
| … | … | … | … | … |
F.10.3.7 關鍵數據類別
以列表形式描述具有相近業務屬性和安全需求的數據集合。
| 序號 | 數據類別 | 所屬業務應用 | 安全防護需求 | 重要程度 |
|---|---|---|---|---|
| … | … | … | … | … |
F.10.3.8 安全相關人員
以列表形式給出與被測信息系統安全相關的人員情況。相關人員包括(但不限于)安全主管、系統建設負責人、系統運維負責人、網絡(安全)管理員、主機(安全)管理員、數據庫(安全)管理員、應用(安全)管理員、機房管理人員、資產管理員、業務操作員、安全審計人員等。
| 序號 | 姓名 | 崗位**/**角色 | 聯系方式 |
|---|---|---|---|
| … | … | … | … |
F.10.3.9 安全管理文檔
以列表形式給出與信息系統安全相關的文檔,包括管理類文檔、記錄類文檔和其他文檔。
| 序號 | 文檔名稱 | 主要內容 |
|---|---|---|
| … | … | … |
F.10.4 安全服務
| 序號 | 安全服務名稱 | 安全服務商 |
|---|---|---|
| … | … | … |
F.10.5 安全環境威脅評估
描述被測信息系統的運行環境中與安全相關的部分,并以列表形式給出被測信息系統的威脅列表。
| 序號 | 威脅分**(子)**類 | 描述 |
|---|---|---|
| … | … | … |
F.10.6 前次測評情況
簡要描述前次等級測評發現的主要問題和測評結論。
F.11 等級測評范圍與方法
F.11.1 測評指標
測評指標包括基本指標和特殊指標兩部分。
F.11.1.1 基本指標
依據信息系統確定的業務信息安全保護等級和系統服務安全保護等級,選擇《基本要求》中對應級別的安全要求作為等級測評的基本指標,以表格形式在表3-1中列出。
表3-1 基本指標
| 安全層面 | 安全控制點 | 測評項數 |
|---|---|---|
| … | … | … |
F.11.1.2 不適用指標
鑒于信息系統的復雜性和特殊性,《基本要求》的某些要求項可能不適用于整個信息系統,對于這些不適用項應在表后給出不適用原因。
表3-2 不適用指標
| 安全層面 | 安全控制點 | 不適用項 | 原因說明 |
|---|---|---|---|
| … | … | … | |
F.11.1.3 特殊指標
結合被測評單位要求、被測信息系統的實際安全需求以及安全最佳實踐經驗,以列表形式給出《基本要求》(或行業標準)未覆蓋或者高于《基本要求》(或行業標準)的安全要求。
| 安全層面 | 安全控制點 | 特殊要求描述 | 測評項數 |
|---|---|---|---|
| … | … | … | |
F.11.2 測評對象
F.11.2.1 測評對象選擇方法
依據GB/T 28449-2012信息系統安全等級保護測評過程指南的測評對象確定原則和方法,結合資產重要程度賦值結果,描述本報告中測評對象的選擇規則和方法。
F.11.2.2 測評對象選擇結果
F.11.2.2.1 機房
| 序號 | 機房名稱 | 物理位置 | 重要程度 |
|—|—|—|
| | | | |
F.11.2.2.2 網絡設備
| 序號 | 設備名稱 | 操作系統 | 用途 | 重要程度 |
|---|---|---|---|---|
| … | … | … | … | |
F.11.2.2.3 安全設備
| 序號 | 設備名稱 | 操作系統 | 用途 | 重要程度 |
|---|---|---|---|---|
| … | … | … | … | |
F.11.2.2.4 服務器/存儲設備
| 序號 | 設備名稱 | 操作系統**/**數據庫管理系統 | 業務應用軟件 | 重要程度 |
|---|---|---|---|---|
| … | … | … | ||
F.11.2.2.5 終端
| 序號 | 設備名稱 | 操作系統 | 用途 | 重要程度 |
|---|---|---|---|---|
| … | … | |||
F.11.2.2.6 數據庫管理系統
| 序號 | 數據庫系統名稱 | 數據庫管理系統類型 | 所在設備名稱 | 重要程度 |
|---|---|---|---|---|
| … | … | … | … | … |
F.11.2.2.7 業務應用軟件
| 序號 | 軟件名稱 | 主要功能 | 開發廠商 | 重要程度 |
|---|---|---|---|---|
| … | … | … | ||
F.11.2.2.8 訪談人員
| 序號 | 姓名 | 崗位**/**職責 |
|---|---|---|
| … | … | … |
F.11.2.2.9 安全管理文檔
| 序號 | 文檔名稱 | 主要內容 |
|---|---|---|
| … | … | … |
F.11.3 測評方法
描述等級測評工作中采用的訪談、核查、測試和風險分析等方法。
F.12 單元測評
單元測評內容包括“3.1.1基本指標”以及“3.1.3特殊指標”中涉及的安全層面,內容由問題分析和結果匯總等兩個部分構成,詳細結果記錄及符合程度參見報告附錄A。
F.12.1 物理安全
F.12.1.1 結果匯總
針對不同安全控制點對單個測評對象在物理安全層面的單項測評結果進行匯總和統計。
表4-1物理安全-單元測評結果匯總表
F.12.1.2 結果分析
針對物理安全測評結果中存在的符合項加以分析說明,形成被測系統具備的安全保護措施描述。
針對物理安全測評結果中存在的部分符合項或不符合項加以匯總和分析,形成安全問題描述。
F.12.2 網絡安全
F.12.2.1 結果匯總
針對不同安全控制點對單個測評對象在網絡安全層面的單項測評結果進行匯總和統計。
F.12.2.2 結果分析
F.12.3 主機安全
F.12.4 應用安全
F.12.5 數據安全及備份恢復
F.12.6 安全管理制度
F.12.7 安全管理機構
F.12.8 人員安全管理
F.12.9 系統建設管理
F.12.10 系統運維管理
F.12.11 ××××(特殊指標)
F.12.12 單元測評小結
F.12.12.1 控制點符合情況匯總
根據附錄A中測評項的符合程度得分,以算術平均法合并多個測評對象在同一測評項的得分,得到各測評項的多對象平均分。
根據測評項權重(參見附件《測評項權重賦值表》,其他情況的權重賦值另行發布),以加權平均合并同一安全控制點下的所有測評項的符合程度得分,并按照控制點得分計算公式得到各安全控制點的5分制得分。
控制點得分
以表格形式匯總測評結果,表格以不同顏色對測評結果進行區分,部分符合(安全控制點得分在0分和5分之間,不等于0分或5分)的安全控制點采用黃色標識,不符合(安全控制點得分為0分)的安全控制點采用紅色標識。
表4-* 單元測評結果分類統計表
F.12.12.2 安全問題匯總
針對單元測評結果中存在的部分符合項或不符合項加以匯總,形成安全問題列表并計算其嚴重程度值。依其嚴重程度取值為1~5,最嚴重的取值為5。安全問題嚴重程度值是基于對應的測評項權重并結合附錄A中對應測評項的符合程度進行的。具體計算公式如下:
安全問題嚴重程度值=(5-測評項符合程度得分)×測評項權重。
表4-4安全問題匯總表
| 問題編號 | 安全問題 | 測評對象 | 安全層面 | 安全控制點 | 測評項 | 測評項權重 | 問題嚴重程度值 |
|---|---|---|---|---|---|---|---|
| … | … | … | |||||
F.13 整體測評
從安全控制間、層面間、區域間和驗證測試等方面對單元測評的結果進行驗證、分析和整體評價。
具體內容參見《GB/T 28448信息安全技術信息系統安全等級保護測評要求》。
F.13.1 安全控制間安全測評
F.13.2 層面間安全測評
F.13.3 區域間安全測評
F.13.4 驗證測試
驗證測試包括漏洞掃描,滲透測試等,驗證測試發現的安全問題對應到相應的測評項的結果記錄中。詳細驗證測試報告見報告附錄A。
若由于用戶原因無法開展驗證測試,應將用戶簽章的“自愿放棄驗證測試聲明”作為報告附件。
F.13.5 整體測評結果匯總
根據整體測評結果,修改安全問題匯總表中的問題嚴重程度值及對應的修正后測評項符合程度得分,并形成修改后的安全問題匯總表(僅包括有所修正的安全問題)。可根據整體測評安全控制措施對安全問題的彌補程度將修正因子設為0.5~0.9。
修正后問題嚴重程度值=修正前的問題嚴重程度值×修正因子。
修正后測評項符合程度=5-修正后問題嚴重程度值/測評項權重
表5-1修正后的安全問題匯總表
| 序號 | 問題編號 | 安全問題描述 | 測評項**權重** | 整體測**評描述** | 修正**因子** | 修正后問題嚴重程度值 | 修正后測評項符合程度 |
|---|---|---|---|---|---|---|---|
| … | |||||||
F.14 總體安全狀況分析
FA.14.1 系統安全保障評估
以表格形式匯總被測信息系統已采取的安全保護措施情況,并綜合附錄A中的測評項符合程度得分以及5.5章節中的修正后測評項符合程度得分(有修正的測評項以5.5章節中的修正后測評項符合程度得分帶入計算),以算術平均法合并多個測評對象在同一測評項的得分,得到各測評項的多對象平均分。
根據測評項權重(見附件《測評項權重賦值表》,其他情況的權重賦值另行發布),以加權平均合并同一安全控制點下的所有測評項的符合程度得分,并按照控制點得分計算公式得到各安全控制點的5分制得分。計算公式為:
控制點得分
以算術平均合并同一安全層面下的所有安全控制點得分,并轉換為安全層面的百分制得分。根據表格內容描述被測信息系統已采取的有效保護措施和存在的主要安全問題情況。
表6-1系統安全保障情況得分表
F.14.2 安全問題風險評估
依據信息安全標準規范,采用風險分析的方法進行危害分析和風險等級判定。針對等級測評結果中存在的所有安全問題,結合關聯資產和威脅分別分析安全危害,找出可能對信息系統、單位、社會及國家造成的最大安全危害(損失),并根據最大安全危害嚴重程度進一步確定信息系統面臨的風險等級,結果為“高”、“中”或“低”。并以列表形式給出等級測評發現安全問題以及風險分析和評價情況,參見表6-2。
其中,最大安全危害(損失)結果應結合安全問題所影響業務的重要程度、相關系統組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等進行綜合分析。
表6-2信息系統安全問題風險分析表
| 問題**編號** | 安全層面 | 問題描述 | 關聯資產 | 關聯威脅 | 危害分析結果 | 風險等級 |
|---|---|---|---|---|---|---|
F.14.3 等級測評結論
綜合上述幾章節的測評與風險分析結果,根據符合性判別依據給出等級測評結論,并計算信息系統的綜合得分。
等級測評結論應表述為“符合”、“基本符合”或者“不符合”。
結論判定及綜合得分計算方式見下表:
也可根據特殊指標重要程度為其賦予權重,并參照上述方法和綜合得分計算公式,得出綜合基本指標與特殊指標測評結果的綜合得分。
F.15 問題處置建議
針對系統存在的安全問題提出處置建議。
F.16 附錄A等級測評結果記錄
F.16.1 A.1物理安全
以表格形式給出物理安全的現場測評結果。符合程度根據被測信息系統實際保護狀況進行賦值,完全符合項賦值為5,其他情況根據被測系統在該測評指標的符合程度賦值為0~4(取整數值)。
F.16.2 A.2網絡安全
F.16.3 A.3 主機安全
F.16.4 A.4 應用安全
F.16.5 A.5 數據安全及備份恢復
F.16.6 A.6 安全管理制度
F.16.7 A.7 安全管理機構
F.16.8 A.8 人員安全管理
F.16.9 A.9 系統建設管理
F.16.10 A.10 系統運維管理
F.16.11 A.11 ××××(特殊指標安全層面)
F.16.12 A.12驗證測試
F.17 附件 第三級信息系統測評項權重賦值表
(略)
推薦文章: