1. 安全报告怎么写
信息系统安全等级测评 报告模板 项目名称: 委托单位: 测评单位: 年 月 日 报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表) 描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。 二、等级测评结果 依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题 依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。 四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息 信息系统基本情况 系统名称 安全保护等级 机房位置 中心机房 灾备中心 其他机房 委托单位 单位名称 单位地址 邮政编码 联系人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 通信地址 邮政编码 联系人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 报告 审核批准 编制人 日期 审核人 日期 批准人 日期 声明 声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容: 本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称 年 月 报告目录 1 测评项目概述。 1 1.1 测评目的。
1 1.2 测评依据。 1 1.3 测评过程。
1 1.4 报告分发范围。 2 2 被测系统情况。
3 2.1 基本信息。 3 2.2 业务应用。
4 2.3 网络结构。 4 2.4 系统构成。
4 2.4.1 业务应用软件.. 4 2.4.2 关键数据类别.. 4 2.4.3 主机/存储设备.. 5 2.4.4 网络互联与安全设备.. 5 2.4.5 安全相关人员.. 6 2.4.6 安全管理文档.. 6 2.5 安全环境。 6 3 等级测评范围与方法。
7 3.1 测评指标。 7 3.1.1 基本指标.. 7 3.1.2 附加指标.. 9 3.2 测评对象。
9 3.2.1 选择方法.. 9 3.2.2 选择结果.. 10 3.3 测评方法。 11 3.3.1 现场测评方法.. 11 3.3.2 风险分析方法.. 11 4 等级测评内容。
12 4.1 物理安全。 12 4.1.1 结果记录.. 12 4.1.2 问题分析.. 12 4.1.3 单元测评结果.. 12 4.2 网络安全。
12 4.2.1 结果记录.. 12 4.2.2 问题分析.. 14 4.2.3 单元测评结果.. 14 4.3 主机安全。 14 4.3.1 结果记录.. 14 4.3.2 问题分析.. 15 4.3.3 单元测评结果.. 15 4.4 应用安全。
15 4.4.1 结果记录.. 15 4.4.2 问题分析.. 15 4.4.3 单元测评结果.. 15 4.5 数据安全及备份恢复。 15 4.5.1 结果记录.. 15 4.5.2 问题分析.. 15 4.5.3 单元测评结果.. 15 4.6 安全管理制度。
15 4.6.1 结果记录.. 15 4.6.2 问题分析.. 16 4.6.3 单元测评结果.. 16 4.7 安全管理机构。 16 4.7.1 结果记录.. 16 4.7.2 问题分析.. 16 4.7.3 单元测评结果.. 16 4.8 人员安全管理。
16 4.8.1 结果记录.. 16 4.8.2 问题分析.. 16 4.8.3 单元测评结果.. 16 4.9 系统建设管理。 16 4.9.1 结果记录.. 16 4.9.2 问题分析.. 17 4.9.3 单元测评结果.. 17 4.10 系统运维管理。
17 4.10.1 结果记录.. 17 4.10.2 问题分析.. 17 4.10.3 单元测评结果.. 17 4.11 工具测试。 17 4.11.1 结果记录.. 17 4.11.2 问题分析.. 17 5 等级测评结果。
17 5.1 整体测评。 17 5.1.1 安全控制间安全测评.. 17 5.1.2 层面间安全测评.. 18 5.1.3 区域间安全测评.. 18 5.1.4 系统结构安全测评.. 18 5.2 测评结果。
18 5.3 统计图表。 22 6 风险分析和评价。
22 6.1 安全事件可能性分析。 22 6.2 安全事件后果分析。
23 6.3 风险分析和评价。 23 7 系统安全建设、整改建议。
25 7.1 物理安全。 25 7.2 网络安全。
25 7.3 主机安全。 25 7.4 应用安全。
25 7.5 数据安全及备份恢复。 25 7.6 安全管理制度。
25 7.7 安全管理机构。 25 7.8 人员安全管理。
25 7.9 系统建设管理。 26 7.10 系统运维管理。
26 附:信息系统安全等级保护备案表 这里只能搞10000字,我有完整的电子版,有需要留个邮箱,我发给你。