等级测评报告模板2019版

网络安全等级保护[被测对象名称]等级测评报告 I被测对象被测对象名称备案证明编号单位名称单位地址系人系人移动电话安全保护等级安全保护等级XX被测单位职务/职称电话测评单位单位名称单位地址系人所属部门移动电话人批准人 机构代码职务/职称电话编制日期审核日期批准日期I本报告测评结论的有效性建立在被测评单位提供相关证据的真测评工作完成后，由于被测对象发生变更而涉及到的系统构成组件 (或子系统)都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。单位名称(加盖单位公章)年月日I等级测评结论分。如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源)，论和综合得分被测对象名称等级保护对象形态被测对象描述物联网安全保护等级第X级(SA)XX云计算采用移动互联技术的系统工业控制系统大数据其他系统【填写说明：简要描述被测对象承载的业务功能等基本情况，以及被测【填写说明：简要描述测评机构、测评时间、测评过程等，并在等级测测评工作描述等级测评结论综合得分等级测评结论扩展表(云计算安全)【填写说明：此表描述与云计算(包括平台/系统)相关的扩展信息。云计算形单选。下全等级测评结论扩展表云计算平台云服务客户业务应用系统(平台报告编号：)云计算形态【填写说明：此项为云服务客户业务应用系统测评时填写，填写内容为该云服务客户业务应用系统在当前服务模式下所使用的云计算平台的测评报告编号。对于云计算平台的测评，此项填“N/A”】运维所在地云服务模式PaaSaS云计算平台服务列表符合性评价(以IaaS服务模式为例)虚拟主机服务虚拟网络隔离服务云计算服务安虚拟防火墙服务全能力评价虚拟主机入侵检测服务云服务客户系统安全审计服务云服务客户系统防恶意代码服务II综合得分等级测评结论综合得分等级测评结论扩展表(大数据安全)大数据安全等级测评结论扩展表大数据平台大数据形态运维所在地大数据平台服务安全能力评价等级测评结论大数据应用(平台报告编号：)大数据资源(平台报告编号：)【填写说明：当大数据资源或大数据应用采用大数据平台提供方提供平台公共大数据服务部署模式私有大数据服务符合性评价大数符合性评价静态脱敏和去标识化服务数据隔离服务数据加解密及密钥管理服务基于安全标记的访问控制服务数据分类分级的标识服务数据溯源服务综合得分总体评价主要安全问题及整改建议 声明 II 等级测评结论扩展表(云计算安全) IV等级测评结论扩展表(大数据安全) VI 目录 IX I I I II 测评对象1 55测评对象2 56 附录I大数据平台测评及整改情况 57正文表格索引名称]定级结果 2 7 附录表格索引 附录C表-1安全物理环境单项测评结果汇总表(安全通用要求部分) 33附录C表-2安全物理环境单项测评结果汇总表(安全扩展要求部分) 33附录C表-3安全通信网络单项测评结果汇总表(安全通用要求部分) 34附录C表-4安全通信网络单项测评结果汇总表(安全扩展要求部分) 34附录C表-5安全区域边界单项测评结果汇总表(安全通用要求部分) 35附录C表-6安全区域边界单项测评结果汇总表(安全扩展要求部分) 35附录C表-7安全计算环境单项测评结果汇总表(安全通用要求部分) 37附录C表-8安全计算环境单项测评结果汇总表(安全扩展要求部分) 38附录C表-9安全计算环境单项测评结果汇总表(安全通用要求部分) 39附录C表-10安全计算环境单项测评结果汇总表(安全扩展要求部分) 40附录C表-11安全计算环境单项测评结果汇总表(安全通用要求部分) 42附录C表-12安全计算环境单项测评结果汇总表(安全扩展要求部分) 43附录C表-13大数据生命周期单项测评结果汇总表(安全扩展要求部分) 45附录C表-14安全计算环境单项测评结果汇总表(安全通用要求部分) 46附录C表-15安全计算环境单项测评结果汇总表(安全扩展要求部分) 47 II 附录C表-20安全建设管理单项测评结果汇总表(安全通用要求部分) 51附录C表-21安全建设管理单项测评结果汇总表(安全扩展要求部分) 51附录C表-22安全运维管理单项测评结果汇总表(安全通用要求) 52附录C表-23安全运维管理单项测评结果汇总表(安全扩展要求部分) 52 插图索引 I1测评项目概述I2被测对象描述2.1被测对象概述2.1.1定级结果【填写说明：被测对象应为已定级备案的对象(包括基础信息网络、云计算(包表2-1[被测对象名称]定级结果业业务信息安全等级系统服务安全等级被测对象名称安全保护等级2.1.2业务和采用的技术【填写说明：描述被测对象承载的业务、主要功能，以及采用云计算/移动互联/物联网/工业控制/大数据等技术情况，如果被测对象采用了多种新技术，则不2.1.3网络结构的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和图2-1[被测对象名称]网络拓扑图2.2测评指标2.2.1安全通用要求指标用要求指标安全控制点安全控制点2测评项数2.2.2安全扩展要求指标扩展类扩展类型安全类安全控制点测评项数云计算安全扩展要求类化，在《基本要求》目录级别中对应安全类的下一级目录。扩展类型安全类安全控制点测评项数移动互联安全扩展要求物联网安全扩展要求工业控制系统安全扩展要求大数据安全扩展要求2.2.3其他安全要求指标践经验，以列表形式给出《基本要求》未覆盖(如行业标准)或者高于被测对象特特殊要求描述控制点测评项数2.2.4不适用安全要求指标安全要求指标安全类安全控制点不适用项不适用对象原因说明I安安全类安全控制点不适用项不适用对象原因说明2.3测评对象2.3.1测评对象选择方法2.3.2测评对象选择结果房表2-6物理机房序号序号机房名称物理位置重要程度122.2网络设备表2-7网络设备I序号12设备名称是否虚拟设备系统及版本要途程度全设备表2-8安全设备重重要途程度序号12号是否虚拟设备系统及版本设备名称服务器/存储设备表2-9服务器/存储设备数据库数据库管操作系统理系统及及版本版本所属业务应用系统/平序号12虚拟及版本重要程度设备名称终端/现场设备表2-10终端/现场设备操作系统/控制序号设备名称是否虚拟设备设备类别/用途软件及版本12.6系统管理软件/平台表2-11系统管理软件/平台系统管理软件序号所在设备名称版本主要功能/平台名称122.3.2.7业务应用系统/平台表2-12业务应用系统/平台重要程度度业务应用系统/平业务应用系统/平台号12开发厂商度业务应用软件及版本主要功能I所属业务应用所属业务应用类别表2-13-a关键数据类别序号序号数据类别所属业务应用安全防护需求12表2-13-b数据类别序号序号12安全防护数据存储数据处理数据销毁数据采集数据类别数据应用数据流动数据级别安全相关人员表2-14安全相关人员序序号姓名岗位/角色联系方式12安全管理文档表2-15安全管理文档I序号文档名称主要内容123单项测评结果分析3.1安全物理环境3.1.1已有安全控制措施汇总分析3.1.2主要安全问题汇总分析3.2安全通信网络3.2.1已有安全控制措施汇总分析3.2.2主要安全问题汇总分析3.3安全区域边界3.3.1已有安全控制措施汇总分析3.3.2主要安全问题汇总分析3.4安全计算环境3.4.1网络设备和安全设备.4.1.1已有安全控制措施汇总分析要安全问题汇总分析I3.4.2服务器和终端.4.2.1已有安全控制措施汇总分析要安全问题汇总分析3.4.3应用和数据.4.3.1已有安全控制措施汇总分析I要安全问题汇总分析3.4.4其他系统和设备.4.4.1已有安全控制措施汇总分析要安全问题汇总分析3.5安全管理中心3.5.1已有安全控制措施汇总分析3.5.2主要安全问题汇总分析3.6安全管理制度3.6.1已有安全控制措施汇总分析3.6.2主要安全问题汇总分析3.7安全管理机构3.7.1已有安全控制措施汇总分析3.7.2主要安全问题汇总分析3.8安全管理人员3.8.1已有安全控制措施汇总分析II3.8.2主要安全问题汇总分析3.9安全建设管理3.9.1已有安全控制措施汇总分析3.9.2主要安全问题汇总分析3.10安全运维管理.10.1已有安全控制措施汇总分析要安全问题汇总分析3.11其他安全要求指标.11.1已有安全控制措施汇总分析要安全问题汇总分析II3.12验证测试汇总表测试示意图安安全漏洞数量序号设备名称或IP地址类型/OS低中高小计20021测评对象1安全漏洞数量序号设备名称或IP地址类型/OS2测评对象23测评对象34测评对象45测评对象n安全漏洞数量小计低2222中00000高000002222描问题描述安全问题较多，可以只描述主要的安全问题(如高风险)。全部安全问题描述参试过程说明试问题描述他测试验证问题汇总3.13单项测评小结点符合情况汇总重赋值另行发布)】控制点得分=∑=1测评项的多对象平均分×测评项权重×10，n为同一控制点下的测=1∑=1制点采用红色标识，部分符合的安全控制点采用黄色标识。果分类统计表I序序号123456789安全通用要求安全物理环境安全控制点物理位置选择物理访问控制防盗窃和防破坏防雷击防火和防潮温湿度控制安全控制点得分符合情况符合不符合不适用合安全控制点符合情况数量统计通用/扩展类汇总安全问题测评对象号安全控制测评项点测评项权重通用/扩展安全类安全问题测评对象号通用/扩展安全类安全控制测评项点测评项权重4整体测评结果分析【填写说明：从安全控制点间、区域间/层面间和验证测试等方面对单项测评的4.1安全控制点间安全测评4.2区域间/层面间安全测评4.3整体测评结果汇总表4-1修正后的安全问题汇总表3II修修正后风修正理由描述修正前风4安全问题描述序号5安全问题风险分析析和风险等级判定，得到被测对象安全问题风险分析表见表5-1。风险分析主要结合关联资产和关联威胁分别分析安全问题可能产生的危害结果，找出可能对系统、单位、社会及国家造成的最大安全危害或损失(风险等级)。风险分析结果的判断综合了相关系统组件的重要程度、安全问题的严重程表5-1安全问题风险分析表号安全类问题描述关联资产5关联威胁6危害分析风险等级号安全类问题描述关联资产5关联威胁6危害分析风险等级66等级测评结论6-1等级测评结论判别依据优良中差判别依据被测对象中存在安全问题，但不会导致被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测综合得分计算公式综合得分计算公式参见表格下方。测评结论综合得分计算公式：∑()=()部分符合测评项权重∗∑()=()部分符合测评项权重∗]∑===∑()∑()测评项权重=−[×=−[×判定等级测评结论为“差”。低低风险问题数高风险问题数中风险问题数综合得分7安全问题整改建议表7-1安全问题整改建议表安全类问题描述安全整改建议号文结束】附录A被测对象资产A.1物理机房序号序号机房名称物理位置重要程度123A.2网络设备【填写说明：以列表形式给出被测对象中的网络设备(包括虚拟网络设备)。】序序设备名称号123重要注程度是否虚拟系统及版本途注：同类型设备在备注中填写设备数量。A.3安全设备【填写说明：以列表形式给出被测对象中的安全设备(包括虚拟安全设备)。】是否虚是否虚品牌及型重要序号设备名称系统及版本用途备注拟设备号程度123注：同类型设备在备注中填写设备数量。IA.4服务器/存储设备所所属业务应序设备名称用系统/平号123数据库管操作系统理系统及及版本本件及本拟重要程度备注注：同类型设备在备注中填写设备数量。AA.5终端/现场设备是否虚操作系统/控制软设备类别/重要序号设备名称拟设备件及版本途程度123注：同类型设备在备注中填写设备数量。A.6系统管理软件/平台I系统管理软系统管理软所在设备名重要序号件/平台名版本主要功能备注称程度称123注：同类型软件/平台在备注中填写设备数量。A.7业务应用系统/平台业业务应用软件开发厂商重要程度及版本业务应用系统/平序号123主要功能A.8数据类别序号123数据类别7所属业务应用安全防护需求8重要程度7主要描述业务数据类型，如用户数据、行情数据、交易数据等，如果必要可从安全防护需求(保密、完整等)的角度进一步细分。I所属业务应用所属业务应用数据采集数据存储数据处理数据应用数据流动数据销毁序号12安全防护数据类别数据级别A.9安全相关人员不限于)安全主管、系统建设负责人、系统运维负责人、网络(安全)管理员、主机(安全)管理员、数据库(安全)管理员、应用(安全)管理员、软件开发人员、机房管理人员、资产管理员、业务操作员、安全审计人员、数据(安全)序序号姓名岗位/角色联系方式123A.10安全管理文档序号序号文档名称主要内容123I附录B上次测评问题整改情况说明附录C单项测评结果汇总C.1安全物理环境附录C表-1安全物理环境单项测评结果汇总表(安全通用要求部分)安全通用要求序号12n测评对象符合情况符合部分符合不符合不适用符合部分符合不符合不适用符合部分符合不符合物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮电力供应温湿度控制防静电电磁防护不适用不适用不适用附录C表-2安全物理环境单项测评结果汇总表(安全扩展要求部分)符合情符合情况符合部分符合不符合不适用符合部分符合不符合不适用符合部分符合不符合测评对象安全扩展要求感知节点设备物理防护(物联网)无线接入点的物理位置(移动互室外控制设备物理防护(工业控12n安全物理环境(大数基础设施位置(云)CC.2安全通信网络附录C表-3安全通信网络单项测评结果汇总表(安全通用要求部分)安全通用要求通信传输符合部分符合不符合不适用测评对象符合情况可信验证网络架构序号附录C表-4安全通信网络单项测评结果汇总表(安全扩展要求部分)I序号序号安全扩展要求安全扩展要求1测评对象符合情况符合部分符合不符合网络架构 (云计算)(工业控制)通信传输(工业控制)安全通信网络(大数据)不适用C.3安全区域边界附录C表-5安全区域边界单项测评结果汇总表(安全通用要求部分)安全通用要求安全通用要求恶意代码和垃圾邮件符合部分符合不符合不适用安全审计访问控制边界入侵可信验证测评对象符合情况序号附录C表-6安全区域边界单项测评结果汇总表(安全扩展要求部分)拨拨号使用控制 业控无线使用控制 业控访问控制 计访问控制 动互访问控制 业控入侵(云计边界防护 动互入侵防范 动互接入控制 联入侵(物联安全审计 计对象1符合情况符合部分序号II序号测序号测评对象符合情况安全扩展要求访问控制(云计入侵(云计安全审计(云计边界(移动互访问控制(移动互入侵(移动互接入控制(物联入侵(物联访问控制(工业控拨号使用控制(工业控无线使用控制(工业控符合不符合不适用符合部分符对合2象不2符合不适用符合部分符对合n象不n符合不适用C.4安全计算环境C.4.1网络设备和安全设备附录C表-7安全计算环境单项测评结果汇总表(安全通用要求部分)测评对象测评对象符合情况身份鉴别访问控制安全审计入侵防范数据完整性可信验证恶意代码防范剩余信息保护数据备份恢复数据保密性符合部分符合不符合不适用符合部分符合不符合不适用符合部分符合不符合不适用12n个人信息保护安全通用要求附录C表-8安全计算环境单项测评结果汇总表(安全扩展要求部分)安全扩展要求测序评号对象对1象1222n符合情况符合部分符合不符合不适用符合部分符合不符合不适符合情况身份鉴别(云计算)访问控制(云计算)入侵防范(云计算)镜像和快照保护(云计算)数据完整性和保密性(云计算)数据备份恢复(云计算)剩余信息保护(云计算)移动终端管控(移动互联)移动应用管控(移动互联)感知节点设备安全(物联网)网关节点设备安全(物联网)抗数据重放(物联网)数据融合处理(物联网)控制设备安全(工业控制)网络设备和安全设备(大数据)测测序评号对象n部分符合不符合不适身份鉴别(云计算)访问控制(云计算)入侵防范(云计算)镜像和快照保护(云计算)数据完整性和保密性(云计算)动应用管控(移动互联)动终端管控(移动互联)余信息保护(云计算)据备份恢复(云计算)感知节点设备安全(物联网)网关节点设备安全(物联网)抗数据重放(物联网)数据融合处理(物联网)控制设备安全(工业控制)网络设备和安全设备(大数据)用安全扩展要求剩移移符合情况CC.2服务器和终端象(服务器和终端等)在安全计算环境方面的单项测评结果进行汇总和统计。】附录C表-9安全计算环境单项测评结果汇总表(安全通用要求部分)安全通用要求测评对象符合部分符合恶意代码防范数据备份恢复剩余信息保护个人信息保护数据完整性数据保密性访问控制入侵防范可信验证身份鉴别安全审计符合情况序号序序号测评对象符合情况不符合不适用身份鉴别访问控制安全审计入侵防范数据完整性可信验证恶意代码防范剩余信息保护数据备份恢复数据保密性符合部分符合不符合不适用符合部分符合不符合不适用个人信息保护安全通用要求n2附录C表-10安全计算环境单项测评结果汇总表(安全扩展要求部分)服服务器和终端(大数据)控制设备安全(工业控制)数据融合处理(物联网)抗数据重放(物联网)网关节点设备安全(物联网)感知节点设备安全(物联网)移动应用管控(移动互联)移动终端管控(移动互联)剩余信息保护(云计算)数据备份恢复(云计算)数据完整性和保密性(云计算)镜像和快照保护(云计算)入侵防范(云计算)访问控制(云计算)身份鉴别(云计算)符合情况测评对象序号安全扩展要求符合部分1安全扩展要求测序评号对象对2象2对n象n符合情况符合不符合不适用符合部分符合不符合不适用符合部分符合符合情况身份鉴别(云计算)访问控制(云计算)入侵防范(云计算)镜像和快照保护(云计算)数据完整性和保密性(云计算)数据备份恢复(云计算)剩余信息保护(云计算)移动终端管控(移动互联)移动应用管控(移动互联)感知节点设备安全(物联网)网关节点设备安全(物联网)抗数据重放(物联网)数据融合处理(物联网)控制设备安全(工业控制)服务器和终端(大数据)II服服务器和终端(大数据)控制设备安全(工业控制)数据融合处理(物联网)抗数据重放(物联网)网关节点设备安全(物联网)感知节点设备安全(物联网)动应用管控(移动互联)动终端管控(移动互联)余信息保护(云计算)据备份恢复(云计算)数据完整性和保密性(云计算)镜像和快照保护(云计算)入侵防范(云计算)访问控制(云计算)身份鉴别(云计算)符合情况测评对象序号用安全扩展要求剩移移不适C3应用和数据象(应用和数据等)在安全计算环境方面的单项测评结果进行汇总和统计。】附录C表-11安全计算环境单项测评结果汇总表(安全通用要求部分)符合情符合情况符合部分符合不符合不适用符合部分符合不符合测评对象数据完整性可信验证恶意代码防范数据备份恢复剩余信息保护个人信息保护数据保密性安全通用要求访问控制入侵防范身份鉴别安全审计序号2个个人信息保护剩余信息保护数据备份恢复数据保密性数据完整性可信验证恶意代码防范入侵防范安全审计访问控制身份鉴别序号不符合不适用符合部分符合测评对象符合情况安全通用要求不适用n附录C表-12安全计算环境单项测评结果汇总表(安全扩展要求部分)安全扩展要求安全扩展要求身访入镜数数剩移移问侵像据据余动动防和完备信终应制范快整份息端用(((照性恢保管管保和复护控控计计计护保((((算算(密云云移移动计(算算互互))联联计))算)抗数据重放(物联网)应用和数据(大数据)符合部分符合不符合感知节点设备安全网关节点设备安全(工业控制)数据融合处理控制设备安全(物联网)(物联网)(物联网)符合情况测评对象1序号符合情况不符合情况不适用符合部分符合不符合不适用符合部分符合不符合不适感知节点设备安全(物联网)网关节点设备安全(物联网)抗数据重放(物联网)数据融合处理(物联网)控制设备安全(工业控制)应用和数据(大数据)测序评号对象对2象2对n象n安全扩展要求身访入镜数数剩移移问侵像据据余动动防和完备信终应制范快整份息端用(((照性恢保管管保和复护控控计计计护保((((算算(密云云移移动计(算算互互))联联计))算)用附录C表-13大数据生命周期单项测评结果汇总表(安全扩展要求部分)安全要求指标安全要求指标测评对象符合情况数据采数据存数据处数据应数据流数据销集储理用动毁符合部分符合不符合不适用符合部分符合不符合不适用符合部分符合不符合不适用12nCC4.4其他系统和设备附录C表-14安全计算环境单项测评结果汇总表(安全通用要求部分)安全通用要求测评对象符合部分符合不符合不适用恶意代码防范数据备份恢复剩余信息保护个人信息保护数据完整性数据保密性访问控制入侵防范可信验证身份鉴别安全审计符合情况序号符符合部分符合2对象2不符合不适用符合部分符合n对象n不符合不适用附录C表-15安全计算环境单项测评结果汇总表(安全扩展要求部分)安全扩展要求安全扩展要求测序评号对象12符合部分符合不符合不适用符合身份鉴别(云计算)访问控制(云计算)入侵防范(云计算)镜像和快照保护(云计算)数据完整性和保密性(云计算)数据备份恢复(云计算)剩余信息保护(云计算)移动终端管控(移动互联)移动应用管控(移动互联)感知节点设备安全(物联网)网关节点设备安全(物联网)抗数据重放(物联网)数据融合处理(物联网)控制设备安全(工业控制)其他系统和设备(大数据)符合情况测序评号对象2对n象n符合情况部分符合不符合不适用符合部分符合不符符合情况身份鉴别(云计算)访问控制(云计算)入侵防范(云计算