信息系统安全等级保护等级测评报告模板【等保2.0】.docx

《信息系统安全等级保护等级测评报告模板【等保2.0】.docx》由会员分享，可在线阅读，更多相关《信息系统安全等级保护等级测评报告模板【等保2.0】.docx（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保2.0版】报告编号：XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX网络安全等级保护被测对象名称等级测评报告等保2.0委托单位：测评单位：报告时间：年 月网络安全等级测评基本信息表被测对象被测对象名称安全保护等级 第X级备案证明编号被测单位单位名称单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件测评单位单位名称机构代码单位地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件审核批准编制人（签字）编制日期审核人（签字）审核日期批准人（签字）批准日期网络安全等级测评基本信息表报告

2、编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】声明【填写说明：声明是测评机构对测评报告的有效性前提、测评结论的 适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工 作，测评机构可在以下建议内容的基础上增加特殊声明。】本报告是被测对象名称的等级测评报告。本报告是对被测对象名称的整体安全性进行检测分析，针对等 级测评过程中发现的安全问题，结合风险分析，提出合理化建议。本报告测评结论的有效性建立在被测评单位提供相关证据的真 实性基础之上。本报告中给出的测评结论仅对被测对象当时的安全状态有效。当 测评工作完成后，由于被测对象发生变更而涉及到的系统构成组

3、件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对被测对象内部部署的相关 系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其 原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。单位名称（加盖单位公章）年 月 日等级测评结论【填写说明：此表描述等级保护对象及等级测评活动中的一般属性。包括被测对 象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得 分。如被测对象为云计算（包括平台/系统）或大数据（包括平台/应用/资源），则 需要增加云计算安全扩展表或大数据安全扩展表。】测评结论和综合得分被测对

4、象名称XXXX系统安全保护等级第X级（s/x）等级保护对象形态口传统IT系统 云计算口采用移动互联技术的系统口物联网工业控制系统大数据其他系统被测对象描述【填写说明：简要描述被测对象承载的业务功能等基本情况，以及被测对象安全技术情况和安全管理情况。建议不超过400字】测评工作描述【填写说明：简要描述测评机构、测评时间、测评过程等，并在等级测评结论处加盖测评机构单位公章。建议不超过400字。】等级测评结论综合得分等级测评结论III报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】等级测评结论扩展表（云计算安全）【填写说明：此表描述与云计算（包括平台/系统）

5、相关的扩展信息。云计算形态 用于明确被测对象为云计算平台还是云服务客户业务应用系统，此处为单选。运 维所在地用于明确云计算服务的后台技术管理者所在位置，方便公安机关监管。 云服务模式用于明确被测对象所采用的服务模式，此处为单选。注意，一个云计 算平台可能有多种服务模式，每种服务模式单独构成一个定级系统，对应一份定 级报告及一份等级测评报告。云计算服务安全能力评价用于评价当前服务模式下 云计算平台为云服务客户提供的服务的安全能力。云计算平台可能有多种服务模 式，每种服务模式下会提供不同的服务，此处应只填写被测对象当前服务模式下 提供的服务列表。】云计算安全等级测评结论扩展表云计算形态云计算平台云

6、服务客户业务应用系统（平台报告编号：）【填写说明：此项为云服务客户业务应用系统测评时填写，填写内容为该 云服务客户业务应用系统在当前服务模式下所使用的云计算平台的测评 报告编号。对于云计算平台的测评，此项填N/A”】运维所在地云服务模式 IaaS PaaS SaaS云计算服务安全能力评价云计算平台服务列表（以IaaS服务模式为例）符合性评价虚拟主机服务虚拟网络隔离服务虚拟防火墙服务虚拟主机入侵检测服务云服务客户系统安全审计服务云服务客户系统防恶意代码服务KMS密钥管理服务抗DDoS流量清洗服务等级测评结论综合得分等级测评结论扩展表（云计算安全）V报告编号:XXXXXXXXXXX-XXXXX-X

7、X-XXXXXX-XX【等保 2.0 版】等级测评结论扩展表（大数据安全）【填写说明：此表描述与大数据安全相关的扩展信息。大数据形态用于明确被测 对象范围，被测对象的大数据形态是否包括大数据平台、大数据应用或大数据资 源，此处为多选。如被测对象含大数据平台，则大数据平台服务安全能力评价部 分应由测评机构给出评价结论；如被测对象不含大数据平台，则评价由大数据平 台提供方出具该平台的测评结论，供测评机构引用。】大数据安全等级测评结论扩展表大数据形态口大数据平台口大数据应用（平台报告编号：）口大数据资源（平台报告编号：）【填写说明：当大数据资源或大数据应用采用大数据平台提供方提供平台支撑时，平台报告

8、编号为该大数据平台的等级测评报告编号。】运维所在地部署模式口公共大数据服务口私有大数据服务大数据平台服务安全能力评 价大数据平台服务列表符合性评价静态脱敏和去标识化服务数据隔离服务数据加解密及密钥管理服务基于安全标记的访问控制服务数据分类分级的标识服务数据溯源服务等级测评结论综合得分总体评价【填写说明：根据被测对象测评结果和测评过程中了解的相关信息，对被测对象 的安全保护状况进行说明和评价，基于综合评价结果对安全保护状况给出总括性 结论。】总体评价VII报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】主要安全问题及整改建议【填写说明：描述被测对象存在的

9、主要安全问题，以及对主要安全问题提出针对性的整改建议。】主要安全问题及整改建议VIII报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】目录网络安全等级测评基本信息表I声明II等级测评结论III等级测评结论扩展表（云计算安全）IV等级测评结论扩展表（大数据安全）VI总体评价VII主要安全问题及整改建议VIII目录IX正文表格索引XIV附录表格索引XV插图索引XVII1 测评项目概述11.1 测评目的11.2 测评依据11.3 测评过程11.4 报告分发范围22 被测对象描述22.1 被测对象概述22.1.1 定级结果22.1.2 业务和采用的技术22.1

10、.3 网络结构32.2 测评指标32.2.1 安全通用要求指标32.2.2 安全扩展要求指标42.2.3 其他安全要求指标42.2.4 不适用安全要求指标52.3 测评对象52.3.2测评对象选择结果63 单项测评结果分析93.1 安全物理环境103.1.1 已有安全控制措施汇总分析103.1.2 主要安全问题汇总分析103.2 安全通信网络103.2.1 已有安全控制措施汇总分析103.2.2 主要安全问题汇总分析113.3 安全区域边界113.3.1 已有安全控制措施汇总分析113.3.2 主要安全问题汇总分析113.4 安全计算环境123.4.1 网络设备和安全设备123.4.2 服务器

11、和终端123.4.3 应用和数据133.4.4 其他系统和设备143.5 安全管理中心143.5.1 已有安全控制措施汇总分析143.5.2 主要安全问题汇总分析153.6 安全管理制度153.6.1 已有安全控制措施汇总分析153.6.2 主要安全问题汇总分析153.7 安全管理机构163.7.1 已有安全控制措施汇总分析163.7.2 主要安全问题汇总分析163.8 安全管理人员163.8.1 已有安全控制措施汇总分析163.8.2 主要安全问题汇总分析173.9 安全建设管理173.9.1 已有安全控制措施汇总分析173.9.2 主要安全问题汇总分析173.10 安全运维管理183.10

12、.1已有安全控制措施汇总分析183.10.2主要安全问题汇总分析183.11 其他安全要求指标183.11.1已有安全控制措施汇总分析183.11.2主要安全问题汇总分析193.12 验证测试193.12.1漏洞扫描193.12.2渗透测试203.12.3 其他测试验证问题汇总213.13 单项测评小结213.13.1控制点符合情况汇总213.13.2安全问题汇总234 整体测评结果分析234.1 安全控制点间安全测评234.2 区域间/层面间安全测评234.3 整体测评结果汇总245 安全问题风险分析246 等级测评结论257 安全问题整改建议27附录A被测对象资产28A.1物理机房28A.

13、2网络设备28A.3安全设备28A.4服务器/存储设备29A.5终端/现场设备29A.6系统管理软件/平台 29A.7业务应用系统/平台 30A.8数据类别30A.9安全相关人员31A.10安全管理文档32附录B上次测评问题整改情况说明32附录C单项测评结果汇总32C.1安全物理环境32C.2安全通信网络34C.3安全区域边界35C.4安全计算环境36C.4.1网络设备和安全设备36C.4.2服务器和终端39C.4.3应用和数据42C. 4.4其他系统和设备46C.5安全管理中心48C.6安全管理制度49C.7安全管理机构49C.8安全管理人员50C.9安全建设管理50C.10安全运维管理51

14、C. 11其他安全要求指标52附录D单项测评结果记录53D. 1安全物理环境53D. 1.1安全通用要求部分53D.1.2安全扩展要求部分53D.2安全通信网络54D.2.1安全通用要求部分54D.2.2安全扩展要求部分54D.3安全区域边界54D.3.1安全通用要求部分54D.3.2安全扩展要求部分55D.4安全计算环境55D.4.1安全通用要求部分55D.4.2安全扩展要求部分55D.5安全管理中心55D.5.1测评对象1 55D.5.2测评对象2 56D.6安全管理制度56D.7安全管理机构56D.8安全管理人员56D.9安全建设管理56D.9.1安全通用要求部分56D.9.2安全扩展要

15、求部分56D.10安全运维管理56D.10.1安全通用部分56D.10.2安全扩展部分56D.11其他安全要求57附录E漏洞扫描结果记录57附录F渗透测试结果记录57附录G常见威胁列表57附录H云计算平台测评及整改情况57附录I大数据平台测评及整改情况57目录XIII报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】正文表格索引表2-1 被测对象名称定级结果2表2-2安全通用要求指标3表2-3安全扩展要求指标4表2-4其他安全要求指标4表2-5不适用安全要求指标5表2-6物理机房6表2-7网络设备6表2-8安全设备6表2-10服务器/存储设备7表2-11

16、终端/现场设备 7表2-12系统管理软件/平台 7表2-13业务应用系统/平台 8表2-14-a关键数据类别8表2-14-b数据类别8表2-15安全相关人员9表2-16安全管理文档9表3-1接入点A漏洞扫描结果统计表20表3-2测评结果分类统计表22表3-3安全问题汇总表23表4-1修正后的安全问题汇总表24表5-1安全问题风险分析表25表6-1等级测评结论判别依据26表6-2安全风险汇总表26表7-1安全问题整改建议表27附录表格索引附录A表-1物理机房28附录A表-2网络设备28附录A表-3安全设备28附录A表-4服务器/存储设备29附录A表-5终端/现场设备29附录A表-6系统管理软件/

17、平台 30附录A表-7业务应用系统/平台 30附录A表-8- a关键数据类别31附录A表-8- b数据类别32附录A表-9安全相关人员31附录A表-10安全管理文档32附录C表-1安全物理环境单项测评结果汇总表（安全通用要求部分）33附录C表-2安全物理环境单项测评结果汇总表（安全扩展要求部分）33附录C表-3安全通信网络单项测评结果汇总表（安全通用要求部分）34附录C表-4安全通信网络单项测评结果汇总表（安全扩展要求部分）34附录C表-5安全区域边界单项测评结果汇总表（安全通用要求部分）35附录C表-6安全区域边界单项测评结果汇总表（安全扩展要求部分）35附录C表-7安全计算环境单项测评结果

18、汇总表（安全通用要求部分）37附录C表-8安全计算环境单项测评结果汇总表（安全扩展要求部分）38附录C表-9安全计算环境单项测评结果汇总表（安全通用要求部分）39附录C表-10安全计算环境单项测评结果汇总表（安全扩展要求部分）40附录C表-11安全计算环境单项测评结果汇总表（安全通用要求部分）42附录C表-12安全计算环境单项测评结果汇总表（安全扩展要求部分）43附录C表-13大数据生命周期单项测评结果汇总表（安全扩展要求部分）45附录C表-14安全计算环境单项测评结果汇总表（安全通用要求部分）46附录C表-15安全计算环境单项测评结果汇总表（安全扩展要求部分）47附录C表-16安全管理中心单

19、项测评结果汇总表48附录C表-17安全管理制度单项测评结果汇总表49附录C表-18安全管理机构单项测评结果汇总表50附录C表-19安全管理人员单项测评结果汇总表50附录C表-20安全建设管理单项测评结果汇总表（安全通用要求部分）51附录C表-21安全建设管理单项测评结果汇总表（安全扩展要求部分）51附录C表-22安全运维管理单项测评结果汇总表（安全通用要求）52附录C表-23安全运维管理单项测评结果汇总表（安全扩展要求部分）52附录C表-24其他指标单项测评结果汇总表53表格索引XVII报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】插图索引图2-1

20、被测对象名称网络拓扑图3图3-1漏洞扫描工具接入测试示意图19插图索引XVIII报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保 2.0 版】1测评项目概述1.1测评目的【填写说明：简述测评项目背景和项目目标等。】1.2测评依据【填写说明：分类列出开展测评活动所依据的标准、文件和合同等。如果依据了 行业标准的，列出行业标准。】测评过程中主要依据的标准：GB/T 17859-1999信息安全技术计算机信息系统安全保护等级划分准则GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 28448-2019信息安全技术网络安全等级保护测评要求GB/T

21、28449-2018信息安全技术网络安全等级保护测评过程指南GB/T 20984-2007信息安全技术 信息安全风险评估模型1.3测评过程【填写说明：描述等级测评工作流程、各阶段完成的关键任务和工作的时间节点 等内容。】1.4报告分发范围【填写说明：说明等级测评报告正本的份数与分发范围。】2被测对象描述2.1被测对象概述2.1.1定级结果【填写说明：被测对象应为已定级备案的对象（包括基础信息网络、云计算（包 括平台/系统）、大数据、物联网、工业控制系统和采用移动互联技术的系统、数 据资源等），将定级结果填入下表。】表2-1 被测对象名称定级结果被测对象名称安全保护等级业务信息安全等级系统服务安

22、全等级2.1.2业务和采用的技术【填写说明：描述被测对象承载的业务、主要功能，以及采用云计算/移动互联/ 物联网/工业控制/大数据等技术情况，如果被测对象采用了多种新技术，则不同 新技术应单独成段描述。】2.1.3网络结构【填写说明：给出被测对象的网络拓扑结构示意图，并基于示意图说明被测对象 的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和服 务器设备的部署情况和功能简介、与其他系统的互联情况和边界设备、网络的管 理方式和管理工具、以及本地备份和灾备中心的情况等。】图2-1 被测对象名称网络拓扑图2.2测评指标2.2.1安全通用要求指标【填写说明：根据被测对象的安全保护等

23、级，依据业务信息安全保护等级和系统 服务安全保护等级，选择基本要求中对应级别的安全通用要求作为等级测评 的指标，以表格形式在表2中列出指标。】1安全类对应基本要求中的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中 心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10个安全要求类 别。2安全控制点是对安全类的进一步细化，在基本要求目录级别中对应安全类的下一级目录。2.2.2安全扩展要求指标【填写说明：描述采用移动互联技术、云计算技术等的被测对象，或者是物联网、 工业控制系统、大数据等特殊类型的被测对象，选择基本要求中对应级别的 安全扩展要求作为等级测

24、评的指标，以表格形式在表2-3中列出指标。】表2-3安全扩展要求指标扩展类型安全类安全控制点测评项数云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制系统安全扩展要求大数据安全扩展要求2.2.3其他安全要求指标【填写说明：结合被测评单位要求、被测对象的实际安全需求，以及安全最佳实 践经验，以列表形式给出基本要求未覆盖（如行业标准）或者高于被测对象 相应等级基本要求的安全要求，其他安全要求指标权重由其提出部门给出并 参与最终计分计算。】表2-4其他安全要求指标安全类安全控制点特殊要求描述测评项数2.2.4不适用安全要求指标【填写说明：鉴于被测对象的复杂性和特殊性，基本要求的某些要求

25、项可能 不适用于某些测评对象，对于这些不适用项应在表后给出不适用原因。】2.3测评对象2.3.1测评对象选择方法【填写说明：依据GB/T 28449中测评对象确定原则和方法，结合资产重要程度 赋值结果，赋值结果为非常重要、重要、一般，描述本报告中测评对象的选择规 则和方法。当被测对象为大数据时，测评对象选择还应结合数据的分类分级结果、 存储方式、数据来源、流动方式等，描述本报告中大数据相关测评对象的选择规 则和方法。如果某些重要设备未被选为测评对象，请在相应表格下方通过文字描 述说明原因。】2.3.2测评对象选择结果2.3.2.1物理机房表2-6物理机房序号机房名称物理位置重要程度122.3.

26、2.2网络设备表2-7网络设备序号设备名称是否虚拟设备系统及版本品牌及型号用途重要程度122.3.2.3安全设备表2-8安全设备序号设备名称是否虚拟设备系统及版本品牌及型用途重要程度122.3.2.4服务器/存储设备表2-9服务器/存储设备序号设备名称所属业务应用系统/平台名称是否虚拟设备操作系统及版本数据库管理系统及版本中间件及版本重要程度122.3.2.5终端/现场设备表2-10终端/现场设备序号设备名称是否虚拟设备操作系统/控制软件及版本设备类别/用途重要程度122.3.2.6系统管理软件/平台表2-11系统管理软件/平台序号系统管理软件/平台名称所在设备名称版本主要功能重要程度122.

27、3.2.7业务应用系统/平台表2-12业务应用系统/平台序号业务应用系统/平台名称主要功能业务应用软件及版本开发厂商重要程度122.3.2.8数据类别【填写说明：当被测对象为大数据时，测评对象选择需要覆盖各级各类的数据， 并重点关注重要业务数据、个人敏感信息、鉴别数据、溯源数据等，因此大数据 安全测评采用表2-13-b。】表2-13-b数据类别序号数据类别数据级别安全防护 需求数据采集数据存 储所属业数据处理务应用数据应用数据流动数据销 毁122.3.2.9安全相关人员表2-14安全相关人员序号姓名岗位/角色联系方式122.3.2.10 安全管理文档表2-15安全管理文档序号文档名称主要内容1

28、23单项测评结果分析【填写说明：以下段落为建议书写内容，测评机构可根据情况进行调整。】单项测评内容包括“2.2.1安全通用要求指标”、“2.2.2安全扩展要求指标”以及“2.2.3其他安全要求指标”中涉及的安全类和安全要求条款，内容包括已有 安全控制措施汇总分析和主要安全问题汇总分析两个部分，单项测评结果汇总、 详细结果记录及符合程度参见报告附录。3.1安全物理环境3.1.1已有安全控制措施汇总分析【填写说明：针对安全物理环境方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全物理环境方面具备的安全 保护措施描述。】3.1.2主要安全问题汇总分析【填写说

29、明：针对安全物理环境方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全物理 环境方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.2安全通信网络3.2.1 已有安全控制措施汇总分析【填写说明：针对安全通信网络方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全通信网络方面具备的安全 保护措施描述。】3.2.2主要安全问题汇总分析【填写说明：针对安全通信网络方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问题及其 关联对

30、象，形成被测对象在安全通信网络方面的安全问题描述。全部安全问题描 述参见3.13.2及报告附录。】3.3安全区域边界3.3.1已有安全控制措施汇总分析【填写说明：针对安全区域边界方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全区域边界方面具备的安全 保护措施描述。】3.3.2 主要安全问题汇总分析【填写说明：针对安全区域边界方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问题及其 关联对象，形成被测对象在安全区域边界方面的安全问题描述。全部安全问题描 述参见3.13.2及报告附录。】3.4安全

31、计算环境3.4.1网络设备和安全设备3.4.1.1已有安全控制措施汇总分析【填写说明：针对网络设备和安全设备方面安全测评结果中存在的符合项加以汇 总和分析，建议按照控制点进行详细描述，形成被测对象网络设备和安全设备方 面具备的安全保护措施描述。】3.4.1.2主要安全问题汇总分析【填写说明：针对网络设备和安全设备方面安全测评结果中存在的部分符合项和 不符合项加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问 题及其关联对象，形成被测对象在网络设备和安全设备方面的安全问题描述。全 部安全问题描述参见3.13.2及报告附录。】3.4.2服务器和终端3.4.2.1 已有安全控制措施汇总分

32、析【填写说明：针对服务器和终端方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象服务器和终端方面具备的安全 保护措施描述。】3.4.2.2主要安全问题汇总分析【填写说明：针对服务器和终端方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问题及其 关联对象，形成被测对象在服务器和终端方面的安全问题描述。全部安全问题描 述参见3.13.2及报告附录。】3.4.3应用和数据3.4.3.1已有安全控制措施汇总分析【填写说明：针对应用和数据方面安全测评结果中存在的符合项加以汇总和分析， 建议按照控制点进行详细描

33、述，形成被测对象应用和数据方面具备的安全保护措 施描述。】3.4.3.2 主要安全问题汇总分析【填写说明：针对应用和数据方面安全测评结果中存在的部分符合项和不符合项 加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问题及其关 联对象，形成被测对象在应用和数据方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.4.4其他系统和设备3.4.4.1已有安全控制措施汇总分析【填写说明：针对其他系统和设备方面安全测评结果中存在的符合项加以汇总和 分析，建议按照控制点进行详细描述，形成被测对象其他系统和设备方面具备的 安全保护措施描述。】3.4.4.2主要安全问题汇总分析【填

34、写说明：针对其他系统和设备方面安全测评结果中存在的部分符合项和不符 合项加以汇总和分析，并结合漏洞扫描及渗透测试等结果，描述主要安全问题及 其关联对象，形成被测对象在其他系统和设备方面的安全问题描述。全部安全问 题描述参见3.13.2及报告附录。】3.5安全管理中心3.5.1已有安全控制措施汇总分析【填写说明：针对安全管理中心方面安全测评结果中存在的符合项加以汇总和分析，建议按照控制点进行详细描述，形成被测对象安全管理中心方面具备的安全 保护措施描述。】3.5.2主要安全问题汇总分析【填写说明：针对安全管理中心方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，并结合漏洞扫描及渗透测

35、试等结果，描述主要安全问题及其 关联对象，形成被测对象在安全管理中心方面的安全问题描述。全部安全问题描 述参见3.13.2及报告附录。】3.6安全管理制度3.6.1已有安全控制措施汇总分析【填写说明：针对安全管理制度方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全管理制度方面具备的安全 保护措施描述。】3.6.2 主要安全问题汇总分析【填写说明：针对安全管理制度方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全管理制度方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.7安

36、全管理机构3.7.1已有安全控制措施汇总分析【填写说明：针对安全管理机构方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全管理机构方面具备的安全 保护措施描述。】3.7.2主要安全问题汇总分析【填写说明：针对安全管理机构方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全管理 机构方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.8安全管理人员3.8.1已有安全控制措施汇总分析【填写说明：针对安全管理人员方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描

37、述，形成被测对象安全管理人员方面具备的安全保护措施描述。】3.8.2主要安全问题汇总分析【填写说明：针对安全管理人员方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全管理 人员方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.9安全建设管理3.9.1已有安全控制措施汇总分析【填写说明：针对安全建设管理方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全建设管理方面具备的安全 保护措施描述。】3.9.2 主要安全问题汇总分析【填写说明：针对安全建设管理方面安全测评结果中存在的部

38、分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全建设 管理方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.10安全运维管理3.10.1已有安全控制措施汇总分析【填写说明：针对安全运维管理方面安全测评结果中存在的符合项加以汇总和分 析，建议按照控制点进行详细描述，形成被测对象安全运维管理方面具备的安全 保护措施描述。】3.10.2主要安全问题汇总分析【填写说明：针对安全运维管理方面安全测评结果中存在的部分符合项和不符合 项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在安全运维 管理方面的安全问题描述。全部安全问题描述参见3.

39、13.2及报告附录。】3.11其他安全要求指标3.11.1 已有安全控制措施汇总分析【填写说明：针对其他安全要求指标方面安全测评结果中存在的符合项加以汇总 和分析，建议按照控制点进行详细描述，形成被测对象其他安全要求指标方面具 备的安全保护措施描述。】3.11.2主要安全问题汇总分析【填写说明：针对其他安全要求指标方面安全测评结果中存在的部分符合项和不 符合项加以汇总和分析，描述主要安全问题及其关联对象，形成被测对象在其他 安全要求指标方面的安全问题描述。全部安全问题描述参见3.13.2及报告附录。】3.12验证测试【填写说明：验证测试包括漏洞扫描、渗透测试等，验证测试发现的安全问题对 应到相

40、应的测评项的结果记录中，详细验证测试报告参见附录。若由于用户原因 无法开展验证测试，应将用户签章的“自愿放弃验证测试声明”作为报告附件。】3.12.1漏洞扫描3.12.1.1漏洞扫描汇总表【填写说明：说明漏洞扫描器的名称以及系统版本和规则库的版本，给出漏洞扫 描的示意图及相关接入点说明。】图3-1漏洞扫描工具接入测试示意图1）接入点A漏洞扫描结果统计【填写说明：针对漏洞扫描结果按照下表进行汇总统计，详细漏洞扫描结果记录描述参见报告附录。】根据在接入点A对XX台被测设备的漏洞扫描结果，汇总统计如下表:表3-1接入点A漏洞扫描结果统计表序号设备名称或IP地址类型/OS安全漏洞数量低中高小计1测评对

41、象120022测评对象220023测评对象320024测评对象420025测评对象n2002安全漏洞数量小计1000103.12.1.2 漏洞扫描问题描述【填写说明：针对漏洞扫描发现的安全问题进行汇总描述，如果漏洞扫描发现的 安全问题较多，可以只描述主要的安全问题（如高风险）。全部安全问题描述参 见报告附录。】3.12.2渗透测试3.12.2.1 渗透测试过程说明【填写说明：简要描述渗透测试工具、方法、流程等。】3.12.2.2 渗透测试问题描述【填写说明：针对渗透测试发现的安全问题进行汇总描述，内容至少包括漏洞名 称、涉及系统或者IP、风险级别等，详细渗透测试过程记录描述参见报告附录。】3.

42、12.3其他测试验证问题汇总【填写说明：针对其他测试验证发现的安全问题进行汇总描述，详细测试验证过 程记录描述参见报告附录。】3.13单项测评小结3.13.1控制点符合情况汇总【填写说明：针对各个安全类单项测评结果，详细说明计算公式，汇总统计控制 点得分和符合情况，符合情况填写“”。以下段落为建议书写内容，测评机构 可调整下述内容，如有特殊计算公式请说明。（附件测评项权重赋值表给出 了测评项的权重用于得分计算，其他情况的权重赋值另行发布）】根据附录D中测评项的符合程度得分，以算术平均法合并多个测评对象在 同一测评项的得分，得到各测评项的多对象平均分。根据测评项权重，以加权平 均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的10分制得分。Zn测评项的多对象平均分X测评项权重Zn测评项权重fc=1评项数，不含不适用的测评项。4X 10，n为同一控制点下的测下表给出了汇总测评结果，表格以不同颜色对测评结果进行区分，不符合的 安全控制点采用红色标识，部分符合的安全控制点采用黄色标识。表3-2测评结果分类统计表序号通用/扩展安全类安全控制点安全控制点得