当前位置：文档库 › XX信息系统安全等级测评报告(模板)

XX信息系统安全等级测评报告(模板)

XX系统安全等级测评报告

XX部门

20XX年X月

1.等级测评结论 (2)

2.总体评价 (2)

3.主要安全问题 (2)

4.问题处置建议 (2)

5.测评工作概述 (3)

5.1.测评目的 (3)

5.2.测评依据 (3)

5.3.测评过程 (3)

6.被测系统情况 (3)

6.1.基本信息 (3)

6.2.业务应用 (3)

6.3.网络结构 (3)

6.4.系统构成 (4)

6.5.安全服务 (4)

6.6.安全环境威胁评估 (4)

7.等级测评范围与方法 (4)

7.1.测评指标 (4)

7.2.测评对象 (4)

7.3.测评方法 (4)

8.单元测评 (5)

9.整体测评 (5)

10.总体安全状况分析 (5)

附录-等级测评结果记录 (5)

信息系统等级测评基本信息表

1.等级测评结论

描述等级测评总体结论。根据符合性判别依据给出等级测评结论，并计算信息系统的综合得分。等级测评结论应表述为“符合”、“基本符合”或者“不符合”，参考示例如下：

2.总体评价

根据被测系统测评结果和测评过程中了解的相关信息，对被测信息系统的安全保护状况进行评价。例如可以从安全责任制、管理制度体系、基础设施与网络环境、安全控制措施、数据保护、系统规划与建设、系统运维管理、应急保障等方面分别评价描述信息系统安全保护状况。

综合上述评价结果，对信息系统的安全保护状况给出总括性结论。例如：信息系统总体安全保护状况较好。

3.主要安全问题

描述被测信息系统存在的主要安全问题及其可能导致的后果。

4.问题处置建议

针对系统存在的主要安全问题提出处置建议。

5.测评工作概述

5.1.测评目的

描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。

描述等级测评工作的基本情况，包括委托单位、测评单位、测评范围及预期。

5.2.测评依据

开展测评活动所依据的合同、标准和文件。

5.3.测评过程

描述本次等级测评的工作流程，具体内容包括但不限于：测评工作流程图、各阶段完成的关键任务、工作的时间节点。

6.被测系统情况

6.1.基本信息

描述被测信息系统的基本情况，包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

6.2.业务应用

描述信息系统承载的业务应用情况。

6.3.网络结构

给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况。

6.4.系统构成

以列表的形式分类描述信息系统软、硬件以及相关文档的构成情况。

6.5.安全服务

描述安全服务情况，包括系统集成、安全集成、安全运维、安全测评、应急响应、安全监测等所有相关安全服务。

6.6.安全环境威胁评估

描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表。

7.等级测评范围与方法

7.1.测评指标

测评指标包括基本指标和特殊指标两部分，以列表的形式给出。

7.2.测评对象

描述本次等级测评中采用的测评对象选择方法和具体规则，通常采用抽查的方法，兼顾类别与数量。

测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。选择过程中应综合考虑信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾工作投入与结果产出两者的平衡关系。其中，主机设备的重要程度由其承载的业务应用和业务数据的重要程度决定；机房、介质和管理文档不需要抽样。

7.3.测评方法

描述本次等级测评工作中采用的测评方法。

现场测评方法主要包括访谈、检查和测试等三类，可细分为人员访谈、文档审查、配置

核查、现场观测和工具测试等。如果采用工具测试，应给出工具接入示意图，并对测评工具的接入点和预期的测试路径进行描述。

8.单元测评

以表格形式分别给出各单元测评对象的现场测评结果汇总信息。针对各单元测评结果中存在的符合项加以分析说明，形成被测系统具备的安全保护措施描述。各单元测评对象包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理以及特殊指标。

9.整体测评

描述安全控制间、层面间、区域间和验证测试等方面测评结果汇总信息。

10.总体安全状况分析

汇总测评的结果，分析信息系统中存在的主要问题，对这些问题进行系统整体测评分析，包括从安全控制间、层面间、区域间和系统结构等方面进行安全测评。

对整体测评后的等级测评结果基于安全子类进行汇总，并以表格形式进行展示。

附录-等级测评结果记录

以表格形式给出各单元测评对象的现场测评结果。符合程度根据被测信息系统实际保护状况进行赋值，完全符合项赋值为5，其他情况根据被测系统在该测评指标的符合程度赋值为0~4（取整数值）。参考示例如下：

信息安全等级测评师测试题

信息安全等级测评师测试一、单选题（14分） 1、下列不属于网络安全测试范畴的是（ C ） A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是（ D ）。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。 B. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析，并生成报表。 D. 为了节约存储空间，审计记录可以随意删除、修改或覆盖。 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个。（ A ） A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。（ A ） A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。（ ABCD ） A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过＿＿控制来阻塞邮件附件中的病毒。( Ａ ) Ａ．数据控制Ｂ．连接控制Ｃ．ACL控制Ｄ．协议控制二、多选题（36分） 1、不同设VLAN之间要进行通信，可以通过＿＿。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有＿＿。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。（ ABCD ） A．源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。（ＣＤ） A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据＿＿＿＿来限制应用数据流的最大流量。（ ACD ） A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是＿＿＿＿＿。（ BD ） A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。（ CD ） A．用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时，应采用协议的方式以防被窃听。（ＡＣ） A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括（ABC ）。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统

信息系统安全等级保护测评准则.

目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)

7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A（资料性附录）测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B（资料性附录）关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)

信息安全等级保护测评自查

信息系统安全等级保护测评自查（三级）单位全称：XXX 项目联系人：XX X ：XXX ：XXX 1被测信息系统情况 1.1承载的业务情况市XXX系统，XX年投入使用，包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成，主要有XXX功能。各功能区都位于XX机房。具体拓扑如下：

图2-1 市XXX系统拓扑图备注：需注明网络出口（电信，电子资源政务中心、XXX等） 1.3系统备案情况市XXX系统备案为X级，系统备案编号为X，备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备以列表形式给出被测信息系统中的网络设备。

2.3安全设备以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。

2.5终端以列表形式给出被测信息系统中的终端，包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。

等级保护测评报告模板

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日

报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

公安部信息安全等级保护评估中心四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章内容的提炼和简要描述。

报告基本信息

声明声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述，包含但不限于以下内容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统内相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

测试报告模版

XXX项目测试报告

1综述 1.1编写目的本文档主要为各项目组的测试人员、测试组长、项目经理、技术负责人和开发人员等提供客观的质量评估，通过对测试内容的描述、并通过项目测试度量数据直观体现项目质量情况。同时也作为交付项目的质量评估重要依据。通过不同指标的目标设定、过程跟踪、结果分析，为当期被测产品的质量提供可参考的数据，也为后续测试提供数据的基础积累，并作为制定方法流程的依据。 1.2测试简介 1.2.1测试版本说明：任何一个项目的测试都不可能是一个版本就可以完成的，期间必然要经过不断的版本迭代最后趋于稳定并满足了产品发布的要求，最后发布。所以在测试过程中不仅仅要对Bug进行记录，更要对所测试过的版本进行一个完整的记录。版本号的命名规则通常是：项目名称缩写.产品发布日期例如：. 版本意为：BPM项目发布在2013年1月30日发布的第一个版本，后续发布的版本可以不断递增，例如等，V代表version，版本的意思。

1.2.2人员与职责 1.2.3测试环境 2. 测试内容 1.2.1测试项及测试标准

1.2.2测试内容及结果 3. 软件质量指标说明：在软件质量指标中的表格仅仅是一个示例，在实际项目测试报告编写过程中需要将具体的数字填写到表格当中。 3.1用例通过率【用例通过率】：计算项目测试用例执行通过的总数除以与之对应的项目测试用例总数，主要查看项目测试用例执行的有效情况，以此来判断项目的质量情况。

【公式】：∑通过的测试用例个数（个） / ∑测试用例总数（个）*100% 【数据来源】：《XXX项目测试用例文档》【计算结果】：用例通过率=92% 3.2需求覆盖率【需求覆盖率】计算项目已经实现的需求和实际应当实现的需求总数之比。【计算公式】∑项目已实现需求数(个) / ∑项目实际实现需求数(个) *100% 【数据来源】《XXX项目的需求跟踪矩阵》、《XXX项目的软件需求规格说明书》说明：在项目的需求跟踪矩阵表中，对于那些需求已经实现，哪些需求未实现是有记录的，因此在进行需求覆盖率统计的时候，对于已经实现功能的数据统计就是从表格中抽取。【计算结果】项目需求覆盖率=项目实现的需求数/项目应实现的需求总数 3.3缺陷修复率【缺陷修复率】计算状态为“已关闭”的缺陷总数除以有效缺陷总数。说明：有效缺陷总数=“打开”+“重新打开” 【公式】：∑修复（关闭）的缺陷数量（个） / ∑有效缺陷数量（个）【数据来源】：从项目的缺陷管理系统中统计数据：【计算结果】：缺陷修复率=206/216*100%=95%

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》一、马尔康县人民检察院门户网站信息系统描述（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。服务器托管在九龙县电信公司机房（三）该信息系统业务主要包含：等业务。二、马尔康县人民检察院门户网站信息系统安全保护等级确定（一）业务信息安全保护等级的确定 1、业务信息描述该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定业务信息安全保护等级为第二级。（二）系统服务安全保护等级的确定 1、系统服务描述该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防部） ●Information Assurance Technology Framework3.1（美国国家安全局）这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模金阳县人民医院《信息系统安全等级保护定级报告》一、金阳县人民医院信息系统描述金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定 1、业务信息描述本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。（二）系统服务安全保护等级的确定 1、系统服务描述本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

信息安全等级测评机构能力要求使用说明(试行)

信息安全等级保护测评体系建设与测评工作规范性文件信息安全等级测评机构能力要求使用说明（试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)

信息安全等级测评机构能力要求使用说明前言公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明信息安全等级测评机构能力要求使用说明 1范围本规范规定了测评机构的能力要求。本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息系统安全等级保护测评准则

目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76

7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A（资料性附录）测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B（资料性附录）关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 1的等级测评机构进行监督管理。省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全 2集成等业务；（十）应具备的其他条件。第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》；（二）从事信息系统安全相关工作情况；（三）检测评估工作所需软硬件及其他服务保障设施配备情况；（四）有关管理制度建设情况；（五）申请单位及其测评人员基本情况；（六）应提交的其他材料。等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维护。中国农业大学网络中心为该信息系统的主管部门和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设备、设施构成的。该系统在校园网内，有两个出口，第一个出口处部署了流控设备和控制网关，再通过 Extreme6808三层交换机接入教育网，在校园网和教育网的边界设备是思科防火墙设备;第二个出口处部署了阿姆瑞特防火墙设备，该出口通过该防火墙直接接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验室、优秀社团提供网站动、静态数据存储、网站浏览和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为:影响正常工作的开展，导致业务能力下降，泄露公民隐私，有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度上述结果的程度表现为严重损害。 4(确定业务信息安全等级查《定级指南》表2知，业务信息安全保护等级为第二级。对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述该系统服务的主要功能是为用户提供网站数据存贮和浏览服务。其服务范围为学校各部门、学院、重点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后，客观方面表现的侵害结果为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

信息系统安全等级保护测评及服务要求

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。二、测评系统目录投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。表1 三级系统目录表2 二级系统目录特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。测评内容应包括但不限于以下内容：（1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；（2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评；（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

心理测评报告模板

《卡特尔十六种人格因素测验》测评报告姓名 : 俊鸿分组号 : 性别 : 男民族 : 未填写职务 : 出生日期 : 1970-10-1 任教课程 : 未填写年级 : 未填写班级 : 未填写备注 : 测验简介：《卡特尔十六种人格因素测验》（ Cattell Sixteen Personality Factors Questionnaire, 简称 16PF ）是用来测量人格特质的。该测验由美国伊利诺州立大学人格及能力测验研究所（ Institute of personality and Ability Testing ）的卡特尔教授（ Raymend ）所编制的。卡特尔多年从事人格心理学研究，曾根据测验统计、人格心理、行为辅导与诊疗等方面的科学研究，编订了许多精确可靠的测验。 16PF 与其他类似的测验相较，能以同等的时间（约四十分钟）测量更多方面主要的人格特性。具体来说， 16PF 直接测量的 16 种人格特征包括： 1 ．乐群性（ A ）：描述是否愿意与人交往，待人是否热情； 2 ．聪慧性（ B ）：描述抽象思维能力，聪明程度； 3 ．稳定性（ C ）：描述对挫折的忍受能力，能否做到情绪稳定； 4 ．支配性（ E ）：描述是否愿意支配和影响他人，是否愿意领导他人； 5 ．兴奋性（ F ）：描述情绪的兴奋和活跃程度； 6 ．责任性（ G ）：描述对社会道德规范和准则的接纳和自觉履行程度； 7 ．敢为性（ H ）：描述在社会交往情境中的大胆程度； 8 ．敏感性（ I ）：描述敏感程度，即判断和决定是否容易受到感情的影响； 9 ．怀疑性（ L ）：描述是否倾向于探究他人言行举止之后的动机； 10 ．幻想性（ M ）：描述对客观环境和内在的想象过程的重视程度； 11 ．世故性（ N ）：描述是否能老练、灵活地处理事物； 12 ．忧虑性（ O ）：描述体验到的烦恼和忧郁程度； 13 ．开放性（ Q1 ）：描述对新鲜事物的接受和适应程度； 14 ．独立性（ Q2 ）：描述独立程度，亦即对群体的依赖程度； 15 ．自律性（ Q3 ）：描述自我克制，自我激励的程度； 16 ．紧张性（ Q4 ）：描述生活和内心的不稳定程度，以及相关的紧张感。除直接测量这 16 种人格特征外，卡特尔教授等人还发展出了一系列公式，利用前面 16 个量表的分数以及这些公式，还可以计算出一些二元人格特征，主要包括： 1 ．适应性与焦虑性：描述对现在环境的适应程度，是否感到焦虑不满； 2 ．内外向：描述性格特征的内向或者外向程度； 3 ．感情用事与安详机警性：描述个体的情绪困扰程度，以及进取精神； 4 ．怯懦与果敢性：描述做事情时的犹豫或者果断程度；《卡特尔十六种人格因素测验》已被译成多种文字，是世界上使用非常广泛的人格测验。我国研究者也对测验进行了修订，使之更适合我国的国情，经检验，该测验具有良好的信度及效度。可广泛应用于心理咨询、人员选拔和职业指导等各个环节，为人事决策和人事诊断提供个人心理素质的参考依据。 15 岁以上中学生和所有具备小学阅读水平的青年、壮年和老年人都可以适用。分数：