報告編號：XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX【等保2.0版】網絡安全等級測評基本信息表 XVII插圖索引TOC\h\z\c"圖"圖21[被測對象名稱]網絡拓撲圖 3圖31漏洞掃描工具接入測試示意圖 19正文 第5頁共58頁測評項目概述測評目的【填寫說明：簡述測評項目背景和項目目標等。】測評依據【填寫說明：分類列出開展測評活動所依據的標準、文件和合同等。如果依據了行業標準的，列出行業標準。】測評過程中主要依據的標準：GB/T17859-1999《信息安全技術計算機信息系統安全保護等級劃分準則》GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》GB/T28449-2018《信息安全技術網絡安全等級保護測評過程指南》GB/T20984-2007《信息安全技術信息安全風險評估模型》測評過程【填寫說明：描述等級測評工作流程、各階段完成的關鍵任務和工作的時間節點等內容。】報告分發范圍【填寫說明：說明等級測評報告正本的份數與分發范圍。】被測對象描述被測對象概述定級結果【填寫說明：被測對象應為已定級備案的對象（包括基礎信息網絡、云計算（包括平臺/系統）、大數據、物聯網、工業控制系統和采用移動互聯技術的系統、數據資源等），將定級結果填入下表。】表STYLEREF1\s2SEQ表\*ARABIC\s11[被測對象名稱]定級結果被測對象名稱安全保護等級業務信息安全等級系統服務安全等級業務和采用的技術【填寫說明：描述被測對象承載的業務、主要功能，以及采用云計算/移動互聯/物聯網/工業控制/大數據等技術情況，如果被測對象采用了多種新技術，則不同新技術應單獨成段描述。】網絡結構【填寫說明：給出被測對象的網絡拓撲結構示意圖，并基于示意圖說明被測對象的網絡結構基本情況，包括功能/安全區域劃分、隔離與防護情況、關鍵網絡和服務器設備的部署情況和功能簡介、與其他系統的互聯情況和邊界設備、網絡的管理方式和管理工具、以及本地備份和災備中心的情況等。】圖STYLEREF1\s2SEQ圖\*ARABIC\s11[被測對象名稱]網絡拓撲圖測評指標安全通用要求指標【填寫說明：根據被測對象的安全保護等級，依據業務信息安全保護等級和系統服務安全保護等級，選擇《基本要求》中對應級別的安全通用要求作為等級測評的指標，以表格形式在表2-2中列出指標。】表STYLEREF1\s2SEQ表\*ARABIC\s12安全通用要求指標安全類安全類對應基本要求中的安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等1安全類對應基本要求中的安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等10個安全要求類別。安全控制點安全控制點是對安全類的進一步細化，在《基本要求》目錄級別中對應安全類的下一級目錄。安全控制點是對安全類的進一步細化，在《基本要求》目錄級別中對應安全類的下一級目錄。測評項數安全擴展要求指標【填寫說明：描述采用移動互聯技術、云計算技術等的被測對象，或者是物聯網、工業控制系統、大數據等特殊類型的被測對象，選擇《基本要求》中對應級別的安全擴展要求作為等級測評的指標，以表格形式在表2-3中列出指標。】表STYLEREF1\s2SEQ表\*ARABIC\s13安全擴展要求指標擴展類型安全類安全控制點測評項數云計算安全擴展要求移動互聯安全擴展要求物聯網安全擴展要求工業控制系統安全擴展要求大數據安全擴展要求其他安全要求指標【填寫說明：結合被測評單位要求、被測對象的實際安全需求，以及安全最佳實踐經驗，以列表形式給出《基本要求》未覆蓋（如行業標準）或者高于被測對象相應等級《基本要求》的安全要求，其他安全要求指標權重由其提出部門給出并參與最終計分計算。】表STYLEREF1\s2SEQ表\*ARABIC\s14其他安全要求指標安全類安全控制點特殊要求描述測評項數不適用安全要求指標【填寫說明：鑒于被測對象的復雜性和特殊性，《基本要求》的某些要求項可能不適用于某些測評對象，對于這些不適用項應在表后給出不適用原因。】表STYLEREF1\s2SEQ表\*ARABIC\s15不適用安全要求指標安全類安全控制點不適用項不適用對象原因說明測評對象測評對象選擇方法【填寫說明：依據GB/T28449中測評對象確定原則和方法，結合資產重要程度賦值結果，賦值結果為非常重要、重要、一般，描述本報告中測評對象的選擇規則和方法。當被測對象為大數據時，測評對象選擇還應結合數據的分類分級結果、存儲方式、數據來源、流動方式等，描述本報告中大數據相關測評對象的選擇規則和方法。如果某些重要設備未被選為測評對象，請在相應表格下方通過文字描述說明原因。】測評對象選擇結果物理機房表STYLEREF1\s2SEQ表\*ARABIC\s16物理機房序號機房名稱物理位置重要程度12網絡設備表STYLEREF1\s2SEQ表\*ARABIC\s17網絡設備序號設備名稱是否虛擬設備系統及版本品牌及型號用途重要程度12安全設備表STYLEREF1\s2SEQ表\*ARABIC\s18安全設備序號設備名稱是否虛擬設備系統及版本品牌及型號用途重要程度12服務器/存儲設備表STYLEREF1\s2SEQ表\*ARABIC\s19服務器/存儲設備序號設備名稱所屬業務應用系統/平臺名稱是否虛擬設備操作系統及版本數據庫管理系統及版本中間件及版本重要程度12終端/現場設備表STYLEREF1\s2SEQ表\*ARABIC\s110終端/現場設備序號設備名稱是否虛擬設備操作系統/控制軟件及版本設備類別/用途重要程度12系統管理軟件/平臺表STYLEREF1\s2SEQ表\*ARABIC\s111系統管理軟件/平臺序號系統管理軟件/平臺名稱所在設備名稱版本主要功能重要程度12業務應用系統/平臺表STYLEREF1\s2SEQ表\*ARABIC\s112業務應用系統/平臺序號業務應用系統/平臺名稱主要功能業務應用軟件及版本開發廠商重要程度12數據類別表STYLEREF1\s2SEQ表\*ARABIC\s113-a關鍵數據類別序號數據類別所屬業務應用安全防護需求12【填寫說明：當被測對象為大數據時，測評對象選擇需要覆蓋各級各類的數據，并重點關注重要業務數據、個人敏感信息、鑒別數據、溯源數據等，因此大數據安全測評采用表2-13-b。】表STYLEREF1\s213-b數據類別序號數據類別數據級別安全防護需求所屬業務應用數據采集數據存儲數據處理數據應用數據流動數據銷毀12安全相關人員表STYLEREF1\s2SEQ表\*ARABIC\s114安全相關人員序號姓名崗位/角色聯系方式12安全管理文檔表STYLEREF1\s2SEQ表\*ARABIC\s115安全管理文檔序號文檔名稱主要內容12單項測評結果分析【填寫說明：以下段落為建議書寫內容，測評機構可根據情況進行調整。】單項測評內容包括“2.2.1安全通用要求指標”、“2.2.2安全擴展要求指標”以及“2.2.3其他安全要求指標”中涉及的安全類和安全要求條款，內容包括已有安全控制措施匯總分析和主要安全問題匯總分析兩個部分，單項測評結果匯總、詳細結果記錄及符合程度參見報告附錄。安全物理環境已有安全控制措施匯總分析【填寫說明：針對安全物理環境方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全物理環境方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全物理環境方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全物理環境方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全通信網絡已有安全控制措施匯總分析【填寫說明：針對安全通信網絡方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全通信網絡方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全通信網絡方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在安全通信網絡方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全區域邊界已有安全控制措施匯總分析【填寫說明：針對安全區域邊界方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全區域邊界方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全區域邊界方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在安全區域邊界方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全計算環境網絡設備和安全設備已有安全控制措施匯總分析【填寫說明：針對網絡設備和安全設備方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象網絡設備和安全設備方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對網絡設備和安全設備方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在網絡設備和安全設備方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】服務器和終端已有安全控制措施匯總分析【填寫說明：針對服務器和終端方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象服務器和終端方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對服務器和終端方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在服務器和終端方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】應用和數據已有安全控制措施匯總分析【填寫說明：針對應用和數據方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象應用和數據方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對應用和數據方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在應用和數據方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】其他系統和設備已有安全控制措施匯總分析【填寫說明：針對其他系統和設備方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象其他系統和設備方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對其他系統和設備方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在其他系統和設備方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全管理中心已有安全控制措施匯總分析【填寫說明：針對安全管理中心方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全管理中心方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全管理中心方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，并結合漏洞掃描及滲透測試等結果，描述主要安全問題及其關聯對象，形成被測對象在安全管理中心方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全管理制度已有安全控制措施匯總分析【填寫說明：針對安全管理制度方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全管理制度方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全管理制度方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全管理制度方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全管理機構已有安全控制措施匯總分析【填寫說明：針對安全管理機構方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全管理機構方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全管理機構方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全管理機構方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全管理人員已有安全控制措施匯總分析【填寫說明：針對安全管理人員方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全管理人員方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全管理人員方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全管理人員方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全建設管理已有安全控制措施匯總分析【填寫說明：針對安全建設管理方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全建設管理方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全建設管理方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全建設管理方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】安全運維管理已有安全控制措施匯總分析【填寫說明：針對安全運維管理方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象安全運維管理方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對安全運維管理方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在安全運維管理方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】其他安全要求指標已有安全控制措施匯總分析【填寫說明：針對其他安全要求指標方面安全測評結果中存在的符合項加以匯總和分析，建議按照控制點進行詳細描述，形成被測對象其他安全要求指標方面具備的安全保護措施描述。】主要安全問題匯總分析【填寫說明：針對其他安全要求指標方面安全測評結果中存在的部分符合項和不符合項加以匯總和分析，描述主要安全問題及其關聯對象，形成被測對象在其他安全要求指標方面的安全問題描述。全部安全問題描述參見3.13.2及報告附錄。】驗證測試【填寫說明：驗證測試包括漏洞掃描、滲透測試等，驗證測試發現的安全問題對應到相應的測評項的結果記錄中，詳細驗證測試報告參見附錄。若由于用戶原因無法開展驗證測試，應將用戶簽章的“自愿放棄驗證測試聲明”作為報告附件。】漏洞掃描漏洞掃描匯總表【填寫說明：說明漏洞掃描器的名稱以及系統版本和規則庫的版本，給出漏洞掃描的示意圖及相關接入點說明。】圖STYLEREF1\s3SEQ圖\*ARABIC\s11漏洞掃描工具接入測試示意圖接入點A漏洞掃描結果統計【填寫說明：針對漏洞掃描結果按照下表進行匯總統計，詳細漏洞掃描結果記錄描述參見報告附錄。】根據在接入點A對XX臺被測設備的漏洞掃描結果，匯總統計如下表：表STYLEREF1\s3SEQ表\*ARABIC\s11接入點A漏洞掃描結果統計表序號設備名稱或IP地址類型/OS安全漏洞數量低中高小計1測評對象120022測評對象220023測評對象320024測評對象420025測評對象n2002安全漏洞數量小計100010漏洞掃描問題描述【填寫說明：針對漏洞掃描發現的安全問題進行匯總描述，如果漏洞掃描發現的安全問題較多，可以只描述主要的安全問題（如高風險）。全部安全問題描述參見報告附錄。】滲透測試滲透測試過程說明【填寫說明：簡要描述滲透測試工具、方法、流程等。】滲透測試問題描述【填寫說明：針對滲透測試發現的安全問題進行匯總描述，內容至少包括漏洞名稱、涉及系統或者IP、風險級別等，詳細滲透測試過程記錄描述參見報告附錄。】其他測試驗證問題匯總【填寫說明：針對其他測試驗證發現的安全問題進行匯總描述，詳細測試驗證過程記錄描述參見報告附錄。】單項測評小結控制點符合情況匯總【填寫說明：針對各個安全類單項測評結果，詳細說明計算公式，匯總統計控制點得分和符合情況，符合情況填寫“√”。以下段落為建議書寫內容，測評機構可調整下述內容，如有特殊計算公式請說明。（附件《測評項權重賦值表》給出了測評項的權重用于得分計算，其他情況的權重賦值另行發布）】根據附錄D中測評項的符合程度得分，以算術平均法合并多個測評對象在同一測評項的得分，得到各測評項的多對象平均分。根據測評項權重，以加權平均合并同一安全控制點下的所有測評項的符合程度得分，并按照控制點得分計算公式得到各安全控制點的10分制得分。控制點得分=k=1n測評項下表給出了匯總測評結果，表格以不同顏色對測評結果進行區分，不符合的安全控制點采用紅色標識，部分符合的安全控制點采用黃色標識。表STYLEREF1\s3SEQ表\*ARABIC\s12測評結果分類統計表序號通用/擴展安全類安全控制點安全控制點得分符合情況符合部分符合不符合不適用1安全通用要求安全物理環境物理位置選擇2物理訪問控制3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應10電磁防護安全控制點符合情況數量統計安全問題匯總【填寫說明：針對各個安全類單項測評結果匯總統計安全問題。以下段落為建議書寫內容，測評機構可調整下述內容。】對單項測評結果中存在的不符合項進行匯總后，形成了下表中的安全問題。表STYLEREF1\s3SEQ表\*ARABIC\s13安全問題匯總表問題編號安全問題測評對象通用/擴展安全類安全控制點測評項測評項權重整體測評結果分析【填寫說明：從安全控制點間、區域間/層面間和驗證測試等方面對單項測評的結果進行驗證、分析和整體評價。具體內容參見GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》。】安全控制點間安全測評區域間/層面間安全測評整體測評結果匯總【填寫說明：根據整體測評結果匯總統計修正后的安全問題。以下段落為建議書寫內容，測評機構可調整下述內容。】根據整體測評結果，對安全問題匯總表中的安全問題進行修正，風險等級為“高”、“中”、“低”，修正后的問題風險程度見表4-1。表STYLEREF1\s4SEQ表\*ARABIC\s11修正后的安全問題匯總表該處僅列出風險等級有所修正的安全問題。該處僅列出風險等級有所修正的安全問題。序號問題編號該處編號與該處編號與3.13.2安全問題匯總表中的問題編號一一對應。安全問題描述修正前風險等級修正理由描述修正后風險等級安全問題風險分析【填寫說明：采用風險分析方法分析安全問題可能帶來的影響和風險等級。以下段落為建議書寫內容，測評機構可調整下述內容，如采用了特殊的風險分析方法請詳細說明方法。】針對等級測評結果中存在的所有安全問題，采用風險分析的方法進行危害分析和風險等級判定，得到被測對象安全問題風險分析表見表5-1。風險分析主要結合關聯資產和關聯威脅分別分析安全問題可能產生的危害結果，找出可能對系統、單位、社會及國家造成的最大安全危害或損失（風險等級）。風險分析結果的判斷綜合了相關系統組件的重要程度、安全問題的嚴重程度、安全問題被關聯威脅利用的可能性、所影響的相關業務應用以及發生安全事件可能的影響范圍等因素。風險等級根據最大安全危害的嚴重程度進一步確定為“高”、“中”、“低”。表STYLEREF1\s5SEQ表\*ARABIC\s11安全問題風險分析表問題編號安全類問題描述關聯資產如風險值和評價相同，可填寫多個關聯資產。關聯威脅對于多個威脅關聯同一個問題的情況，應分別填寫。危害分析結果風險等級等級測評結論【填寫說明：說明給出被測對象等級測評結論的方法，并最終給出本次等級測評的結論。注意，如果經風險分析后仍存在高風險安全問題，則直接判定等級測評結論為“差”，無需依據綜合得分計算公式計算得分。以下段落為建議書寫內容，測評機構可調整下述內容。】本次等級測評依據下述公式給出等級測評結論，等級測評結論由綜合得分和最終結論構成。表STYLEREF1\s6SEQ表\*ARABIC\s11等級測評結論判別依據測評結論判別依據綜合得分計算公式優被測對象中存在安全問題，但不會導致被測對象面臨中、高等級安全風險，且系統綜合得分90分以上（含90分）。綜合得分計算公式參見表格下方。QUOTE60-j=1l修正良被測對象中存在安全問題，但不會導致被測對象面臨高等級安全風險，且系統綜合得分80分以上（含80分）。中被測對象中存在安全問題，但不會導致被測對象面臨高等級安全風險，且系統綜合得分70分以上（含70分）。差被測對象中存在安全問題，而且會導致被測對象面臨高等級安全風險，或被測對象綜合得分低于70分。綜合得分計算公式：100q為被測對象涉及的安全類，p(j)為某安全類對應的總測評項數，不含不適用的測評項，m(k)為測評項k對應的測評對象數，0.5為部分符合測評項的得分，如果存在高風險安全問題則直接判定等級測評結論為“差”。QUOTE60-j=1l修正表STYLEREF1\s6SEQ表\*ARABIC\s12安全風險匯總表高風險問題數中風險問題數低風險問題數綜合得分【填表說明：請給出高中低安全問題數量及綜合得分。】依據GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》中對第X級系統的要求，對[被測對象名稱]的安全保護狀況通過綜合分析評價，等級測評結論如下：[被測對象名稱]中存在不符合項或部分符合項，系統面臨[高/中/低]安全風險，本次測評的等級測評結論為XXXX，綜合得分為XX。安全問題整改建議【填寫說明：針對5章節匯總的安全問題提出整改建議。】表STYLEREF1\s7SEQ表\*ARABIC\s11安全問題整改建議表問題編號安全類問題描述安全整改建議【正文結束】附錄 第58頁共58頁被測對象資產物理機房【填寫說明：以列表形式給出被測對象的部署機房。】附錄A表-SEQ附錄A_表-\*ARABIC1物理機房序號機房名稱物理位置重要程度123網絡設備【填寫說明：以列表形式給出被測對象中的網絡設備（包括虛擬網絡設備）。】附錄A表-SEQ附錄A_表-\*ARABIC2網絡設備序號設備名稱是否虛擬設備系統及版本品牌及型號用途重要程度備注123注：同類型設備在備注中填寫設備數量。安全設備【填寫說明：以列表形式給出被測對象中的安全設備（包括虛擬安全設備）。】附錄A表-SEQ附錄A_表-\*ARABIC3安全設備序號設備名稱是否虛擬設備系統及版本品牌及型號用途重要程度備注123注：同類型設備在備注中填寫設備數量。服務器/存儲設備【填寫說明：以列表形式給出被測對象中的服務器和存儲設備（包括虛擬設備）。】附錄A表-SEQ附錄A_表-\*ARABIC4服務器/存儲設備序號設備名稱所屬業務應用系統/平臺名稱是否虛擬設備操作系統及版本數據庫管理系統及版本中間件及版本重要程度備注123注：同類型設備在備注中填寫設備數量。終端/現場設備【填寫說明：以列表形式給出被測對象中的終端，包括業務終端、運維終端、管理終端和現場設備等，如果使用了移動終端，列出移動終端。】附錄A表-SEQ附錄A_表-\*ARABIC5終端/現場設備序號設備名稱是否虛擬設備操作系統/控制軟件及版本設備類別/用途重要程度備注123注：同類型設備在備注中填寫設備數量。系統管理軟件/平臺【填寫說明：以列表的形式給出被測對象中的系統管理類軟件或平臺，包括數據庫、中間件、網管軟件/平臺、安管軟件/平臺、云計算管理軟件/平臺等。】附錄A表-SEQ附錄A_表-\*ARABIC6系統管理軟件/平臺序號系統管理軟件/平臺名稱所在設備名稱版本主要功能重要程度備注123注：同類型軟件/平臺在備注中填寫設備數量。業務應用系統/平臺【填寫說明：以列表的形式給出被測對象中的業務應用系統（包括服務器端和客戶端軟件等應用軟件）。】附錄A表-SEQ附錄A_表-\*ARABIC7業務應用系統/平臺序號業務應用系統/平臺名稱主要功能業務應用軟件及版本開發廠商重要程度123數據類別【填寫說明：以列表形式描述具有相近業務屬性和安全需求的數據集合。】附錄A表-SEQ附錄A_表-\*ARABIC8-a關鍵數據類別序號數據類別主要描述業務數據類型，如用戶數據、行情數據、交易數據等，如果必要主要描述業務數據類型，如用戶數據、行情數據、交易數據等，如果必要可從安全防護需求（保密、完整等）的角度進一步細分。所屬業務應用安全防護需求保密性和完整性等。重要程度123【填寫說明：大數據測評對象采用表-8-b數據類別】附錄A表-8-b數據類別序號數據類別數據級別安全防護需求所屬業務應用數據采集數據存儲數據處理數據應用數據流動數據銷毀12安全相關人員【填寫說明：以列表形式給出與被測對象安全相關的人員情況。相關人員包括（但不限于）安全主管、系統建設負責人、系統運維負責人、網絡（安全）管理員、主機（安全）管理員、數據庫（安全）管理員、應用（安全）管理員、軟件開發人員、機房管理人員、資產管理員、業務操作員、安全審計人員、數據（安全）管理員等。】附錄A表-SEQ附錄A_表-\*ARABIC9安全相關人員序號姓名崗位/角色聯系方式123安全管理文檔【填寫說明：以列表形式給出與被測對象安全相關的文檔，包括主要安全管理類文檔、記錄類文檔和其他文檔。】附錄A表-SEQ附錄A_表-\*ARABIC10安全管理文檔序號文檔名稱主要內容123上次測評問題整改情況說明【填寫說明：描述上次等級測評的結論及發現的主要安全問題，主要安全問題源自等級測評報告“主要安全問題及整改建議”。針對這些主要安全問題，核查被測單位安全建設整改情況，并進行詳細說明。】單項測評結果匯總安全物理環境【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全物理環境方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC1安全物理環境單項測評結果匯總表（安全通用要求部分）序號測評

對象符合

情況安全通用要求物理位置選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應電磁防護1機房1符合部分符合不符合不適用2機房2符合部分符合不符合不適用n機房n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC2安全物理環境單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求基礎設施位置（云計算）無線接入點的物理位置（移動互聯）感知節點設備物理防護（物聯網）室外控制設備物理防護（工業控制）安全物理環境（大數據）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全通信網絡【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全通信網絡方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC3安全通信網絡單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求網絡架構通信傳輸可信驗證1對象1符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC4安全通信網絡單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求網絡架構

（云計算）網絡架構

（工業控制）通信傳輸

（工業控制）安全通信網絡（大數據）1對象1符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全區域邊界【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全區域邊界方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC5安全區域邊界單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求邊界防護訪問控制入侵防范惡意代碼和垃圾郵件防范安全審計可信驗證1對象1符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC6安全區域邊界單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求訪問控制（云計算）入侵防范（云計算）安全審計（云計算）邊界防護（移動互聯）訪問控制（移動互聯）入侵防范（移動互聯）接入控制（物聯網）入侵防范（物聯網）訪問控制（工業控制）撥號使用控制（工業控制）無線使用控制（工業控制）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全計算環境網絡設備和安全設備【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象（網絡設備和安全設備等）在安全計算環境方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC7安全計算環境單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護個人信息保護1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC8安全計算環境單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求身份鑒別（云計算）訪問控制（云計算）入侵防范（云計算）鏡像和快照保護（云計算）數據完整性和保密性（云計算）數據備份恢復（云計算）剩余信息保護（云計算）移動終端管控（移動互聯）移動應用管控（移動互聯）感知節點設備安全（物聯網）網關節點設備安全（物聯網）抗數據重放（物聯網）數據融合處理（物聯網）控制設備安全（工業控制）網絡設備和安全設備（大數據）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個服務器和終端【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象（服務器和終端等）在安全計算環境方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC9安全計算環境單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護個人信息保護1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC10安全計算環境單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求身份鑒別（云計算）訪問控制（云計算）入侵防范（云計算）鏡像和快照保護（云計算）數據完整性和保密性（云計算）數據備份恢復（云計算）剩余信息保護（云計算）移動終端管控（移動互聯）移動應用管控（移動互聯）感知節點設備安全（物聯網）網關節點設備安全（物聯網）抗數據重放（物聯網）數據融合處理（物聯網）控制設備安全（工業控制）服務器和終端（大數據）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個應用和數據【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象（應用和數據等）在安全計算環境方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC11安全計算環境單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護個人信息保護1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC12安全計算環境單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求身份鑒別（云計算）訪問控制（云計算）入侵防范（云計算）鏡像和快照保護（云計算）數據完整性和保密性（云計算）數據備份恢復（云計算）剩余信息保護（云計算）移動終端管控（移動互聯）移動應用管控（移動互聯）感知節點設備安全（物聯網）網關節點設備安全（物聯網）抗數據重放（物聯網）數據融合處理（物聯網）控制設備安全（工業控制）應用和數據（大數據）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC13大數據生命周期單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全要求指標數據采集數據存儲數據處理數據應用數據流動數據銷毀1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個其他系統和設備【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象（其他系統和設備等）在安全計算環境方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC14安全計算環境單項測評結果匯總表（安全通用要求部分）序號測評對象符合情況安全通用要求身份鑒別訪問控制安全審計入侵防范惡意代碼防范可信驗證數據完整性數據保密性數據備份恢復剩余信息保護個人信息保護1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個附錄C表-SEQ附錄C_表-\*ARABIC15安全計算環境單項測評結果匯總表（安全擴展要求部分）序號測評對象符合情況安全擴展要求身份鑒別（云計算）訪問控制（云計算）入侵防范（云計算）鏡像和快照保護（云計算）數據完整性和保密性（云計算）數據備份恢復（云計算）剩余信息保護（云計算）移動終端管控（移動互聯）移動應用管控（移動互聯）感知節點設備安全（物聯網）網關節點設備安全（物聯網）抗數據重放（物聯網）數據融合處理（物聯網）控制設備安全（工業控制）其他系統和設備（大數據）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全管理中心【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全管理中心方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC16安全管理中心單項測評結果匯總表序號測評對象符合情況安全通用要求安全擴展要求系統管理審計管理安全管理集中管控集中管控

（云計算）1對象1符合部分符合不符合不適用2對象2符合部分符合不符合不適用n對象n符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全管理制度【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全管理制度方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC17安全管理制度單項測評結果匯總表類或方面符合情況安全通用要求安全策略管理制度制度和發布評審和修訂安全管理制度符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全管理機構【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全管理機構方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC18安全管理機構單項測評結果匯總表類或方面符合情況安全通用要求崗位設置人員配備授權和審批溝通和合作審核和檢查安全管理機構符合部分符合不符合不適用總計測評項X個，符合項X個，部分符合項X個，不符合項X個，不適用項X個安全管理人員【填寫說明：針對安全通用要求和安全擴展要求的不同安全控制點對單個測評對象在安全管理人員方面的單項測評結果進行匯總和統計。】附錄C表-SEQ附錄C_表-\*ARABIC19安全管理人員單項測評結果匯總表類或方面符合情況安全通用要求人員錄用人員離崗安全意