委托单位：
测评单位：
年月日
报告摘要
一、测评工作概述
概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入
依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议
针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息
声明
声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：
本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）
月
报告目录
1测评项目概述 0
1.1测评目的 0
1.2测评依据 0
1
2
2
3
3
3
5
6
6
3.1.1基本指标 (6)
3.1.2附加指标 (8)
3.2测评对象 (8)
3.2.1选择方法 (8)
3.2.2选择结果 (8)
3.3测评方法 (10)
3.3.1现场测评方法 (10)
3.3.2风险分析方法 (10)
4等级测评内容 (11)
4.1物理安全 (11)
4.1.1结果记录 (11)
4.1.2问题分析 (11)
4.1.3单元测评结果 (11)
4.2网络安全 (11)
4.2.1结果记录 (11)
4.2.2问题分析 (13)
13
14
14
14
15
4.7.3单元测评结果 (15)
4.8人员安全管理 (15)
4.8.1结果记录 (15)
4.8.2问题分析 (15)
4.8.3单元测评结果 (15)
4.9系统建设管理 (15)
4.9.1结果记录 (15)
4.9.2问题分析 (16)
4.9.3单元测评结果 (16)
4.10系统运维管理 (16)
4.10.1结果记录 (16)
4.10.2问题分析 (16)
4.10.3单元测评结果 (16)
4.11工具测试 (16)
4.11.1结果记录 (16)
4.11.2问题分析 (16)
5等级测评结果 (16)
16
17
21
21
22
22
24
24 7.3主机安全 (24)
7.4应用安全 (24)
7.5数据安全及备份恢复 (24)
7.6安全管理制度 (24)
7.7安全管理机构 (25)
7.8人员安全管理 (25)
7.9系统建设管理 (25)
7.10系统运维管理 (25)
附：信息系统安全等级保护备案表
1测评项目概述
1.1测评目的
描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

描述本次等级测评的工作流程（可参考《信息系统安全等级保护测评过程指南》），具体内容包括但不限于：
（一）测评工作流程图
（二）各阶段完成的关键任务
（三）工作的时间节点
1针对“国家电子政务工程建设项目”有效
1.4报告分发范围
依据项目需求，明确应交付等级测评报告的数量与分发范围（如本报告一式三份，一份提交测评委托单位、一份提交受理备案的公安机关、一份由测评单位留存）。

2被测系统情况
2.1基本信息
2本报告模板针对作为单一定级对象的信息系统制定。

2.2业务应用
描述信息系统承载的业务应用情况。

2.3网络结构
给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括但不限于：
2.4.2关键数据类别
2.4.3主机/存储设备
以列表形式给出被测信息系统中的主机设备（包含操作系统和数据库管理系统软件），描述项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。

2.4.5安全相关人员
以列表形式给出与被测信息系统安全相关的人员，描述项目包括姓名、岗位/角色和联系方式。

人员包括但不限于安全主管、系统建设负责人、系统运维负责人、
网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。

商机房中、网络存在互联网连接、网络中部署无线接入点以及支持远程拨号访问用户等。

以列表形式给出被测信息系统的威胁列表，并基于历史统计或者行业判断进行威胁赋值，具体内容可参考《风险评估规范》。

3等级测评范围与方法
3.1测评指标
3测评项数量随信息系统的安全保护等级不同而变化
3.1.2附加指标
参照基本指标的表述模式以列表形式给出附加指标。

附加指标包括但不限于：
1）行业标准/规范的具体指标
2）主管部门的规定的具体指标
3）信息系统的运营、使用单位基于特定安全环境或者业务应用提出的具体
3.2.2测评对象选择结果
1)网络互联设备操作系统
4非个人使用存储介质
5)数据库管理系统
6)访谈人员
7)安全管理文档
被威胁利用导致安全事件发生的可能性，可能性的取值范围为高、中和低；
2）判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低；
3）综合1）和2）的结果对信息系统面临的风险进行汇总和分等级，风险等级的取值范围为高、中和低；
4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

4等级测评内容
单元测评的内容及结果记录如下所示：
4.1物理安全
4.1.1结果记录
4.1.2问题分析
1)IOS_路由器_内部_1
2)IOS_路由器_VPN_1
…
4.2.2问题分析
汇总网络安全中存在的问题并加以分析，找出共性和危害严重的问题，如边界防火墙的管理口令为空。

4.2.3单元测评结果
针对网络设备的不同测评指标子类对单项测评结果进行汇总和统计可得单元测评结果。

单元测评结果的判定依据为：如某对象的特定测评指标的全部测评项结果
4.3主机安全
4.3.1结果记录
4.3.2问题分析
4.3.3单元测评结果4.4应用安全
4.6安全管理制度4.6.1结果记录
4.6.2问题分析
4.6.3单元测评结果4.7安全管理机构
4.9系统建设管理4.9.1结果记录
4.9.2问题分析
4.9.3单元测评结果
4.10系统运维管理
5等级测评结果
5.1整体测评
根据《基本要求》的要求，对这些问题进行系统整体测评分析，包括从安全控制间、层面间、区域间和系统结构等方面进行安全测评。

5.1.1安全控制间安全测评
5.1.2层面间安全测评5.1.3区域间安全测评5.1.4系统结构安全测评
5.3统计图表
7系统安全建设、整改建议
明确给出该系统是否达标、基本达标、不达标情况（对于电子政务项目，该结论是电子政务项目验收的条件），根据情况给出系统安全建设整改意见。

针对主要的安全问题提出系统安全建设、整改建议。

结合风险分析的结果可将建设、整改内容分为立即整改和持续改进两类。

7.5数据安全及备份恢复
7.6安全管理制度
7.7安全管理机构7.8人员安全管理。