【正文】 單位對于測評報告內(nèi)容以及用途等有關事項做出的約定性陳述，包含但不限于以下內(nèi)容：本報告中給出的結論僅對目標系統(tǒng)的當時狀況有效，當測評工作完成后系統(tǒng)出現(xiàn)任何變更，涉及到的模塊（或子系統(tǒng)）都應重新進行測評，本報告不再適用。二、等級測評結果依據(jù)第 5 章的結果對等級測評結果進行匯總統(tǒng)計（測評項符合情況及比例、單元測評結果符合情況比例以及整體測評結果） ；通過對信息系統(tǒng)基本安全保護狀態(tài)的分析給出等級測評結論（結論為達標、基本達標、不達標） 。描述等級測評工作的基本情況，包括委托單位、測評單位、測評范圍及預期（如，通過等級測評找出與國家標準要求之間的差距） 。序號 設備名稱 操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng) 業(yè)務應用軟件… … …　網(wǎng)絡互聯(lián)與安全設備以列表形式給出被測信息系統(tǒng)中的網(wǎng)絡互聯(lián)及安全設備。依據(jù)定級結果選擇《基本要求》中對應級別的安全要求作為等級測評的基本指標； 　基本指標基本指標（物理和網(wǎng)絡子類）的例子如下所示：分類 子類 基本要求 測評項數(shù) 3物理位置的選擇測評物理機房所在的外部環(huán)境安全性。4電磁防護 測評線纜電磁防護手段和設備電磁防護手段。9.. . . ..學習參考　附加指標參照基本指標的表述模式以列表形式給出附加指標。如果采用工具測試，應給出工具接入示意圖，并對測評工具的接入點和預期的測試路徑進行描述。網(wǎng)絡安全單元測評結果匯總表測評指標子類序號名稱 網(wǎng)絡結構安全網(wǎng)絡訪問控制網(wǎng)絡安全審計邊界完整性檢查網(wǎng)絡入侵防范惡意代碼防范網(wǎng)絡設備防護1IOS_路由器_內(nèi)部_1部分符合4/7符合0/4符合0/6符合0/2不符合2/2不符合2/2部分符合6/92IOS_路由器_VPN_13 …4563　主機安全　結果記錄.. . . ..學習參考　問題分析　單元測評結果4　應用安全　結果記錄　問題分析　單元測評結果5　數(shù)據(jù)安全及備份恢復　結果記錄　問題分析　單元測評結果6　安全管理制度　結果記錄.. . . ..學習參考　問題分析　單元測評結果7　安全管理機構　結果記錄　問題分析　單元測評結果8　人員安全管理　結果記錄　問題分析　單元測評結果9　系統(tǒng)建設管理　結果記錄.. . . ..學習參考　問題分析　單元測評結果10　系統(tǒng)運維管理　結果記錄　問題分析　單元測評結果11　工具測試 　結果記錄依據(jù)測評工具的結果報告形成工具測試的結果。 序號 風險描述 風險等級.. . . ..學習參考.. . . ..學習參考　系統(tǒng)安全建設、整改建議明確給出該系統(tǒng)是否達標、基本達標、不達標情況（對于電子政務項目，該結論是電子政務項目驗收的條件） ，根據(jù)情況給出系統(tǒng)安全建設整改意見。用一些事情，總會看清一些人。既糾結了自己，又打擾了別人。結合風險分析的結果可將建設、整改內(nèi)容分為立即整改和持續(xù)改進兩類?！〉燃墱y評結果1　整體測評根據(jù)《基本要求》的要求，對這些問題進行系統(tǒng)整體測評分析，包括從安全控制間、層面間、區(qū)域間和系統(tǒng)結構等方面進行安全測評。.. . . ..學習參考　等級測評內(nèi)容單元測評的內(nèi)容及結果記錄如下所示：1　物理安全　結果記錄　問題分析　單元測評結果2　網(wǎng)絡安全　結果記錄以表格形式分別給出不同測評對象的現(xiàn)場測評結果。測評對象包括網(wǎng)絡互聯(lián)與安全設備操作系統(tǒng)、業(yè)務應用軟件、主機操作系統(tǒng)、存儲設備操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、安全相關人員、機房、介質以及管理文檔。7訪問控制主要核查：訪問控制功能、協(xié)議深層檢測、網(wǎng)絡連接超時、流量限制和并發(fā)連接數(shù)限制等等。4防盜竊和防破壞測評機房內(nèi)設備和通信線纜的安全性以及監(jiān)控報警系統(tǒng)建設情況。序號 設備名稱 用 途 重要程度1 路由器_內(nèi)部_1 內(nèi)部邊界路由 重要2 路由器_VPN_1 遠程管理維護 重要3 路由器_VPN_2 遠程管理維護 重要4 防火墻_WEB_1 Web 區(qū)之間訪問控制 重要… … … …　安全相關人員以列表形式給出與被測信息系統(tǒng)安全相關的人員，描述項目包括姓名、崗位/角色和聯(lián)系方式。2　測評依據(jù)開展測評活動所依據(jù)的合同、標準和文件： 　《信息安全等級保護管理辦法》 （公通字[2022]43 號）　《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》 （發(fā)改高技[2022]2071 號） 1　GB/T 222392022 信息安全技術 信息系統(tǒng)安全等級保護基本要求　GB/T 209842022 信息安全技術 信息安全風險評估規(guī)范　《信息安全技術 信息系統(tǒng)安全等級保護測評要求》 （國標報批稿）　被測信息系統(tǒng)安全等級保護定級報告　等級測評任務書/測評合同等1　測評過程描述本次等級測評的工作流程（可參考《信息系統(tǒng)安全等級保護測評過程指南》） ，具體內(nèi)容包括但不限于：　測評工作流程圖　各階段完成的關鍵任務　工作的時間節(jié)點1 針對“國家電子政務工程建設項目”有效.. . . ..學習參考1　報告分發(fā)范圍依據(jù)項目需求，明確應交付等級測評報告的數(shù)量與分發(fā)范圍（如本報告一式三份，一份提交測評委托單位、一份提交受理備案的公安機關、一份由測評單位留存）。四、系統(tǒng)安全建設、整改建議針對系統(tǒng)存在的主要問題提出安全建設、整改建議，是對第七章內(nèi)容的提煉和簡要描述。三、系統(tǒng)存在的主要問題依據(jù) 章節(jié)的分析結果，列出被測信息系統(tǒng)中存在的主要問題以及可能造成的后果（如，未部署 DDos 防御措施，易遭受 DDos 攻擊，導致系統(tǒng)無法提供正常服務） 。描述測評報告的用途（如，作為后續(xù)安全整改的依據(jù)） 。設備名稱應確保在被測信息系統(tǒng)范圍內(nèi)的唯一性，建議采取類別用途/功能/型號編號（可選）的三段命名方式。2物理訪問控制 測評進出機房的審批控制手段以及機房出入口的安全控制情況。3結構安全主要核查：主要網(wǎng)絡設備的處理能力、業(yè)務高峰期需求帶寬、路由控制、網(wǎng)絡拓撲結構圖是否一致、子網(wǎng)劃分、技術隔離手段和帶寬分配策略。附加指標包括但不限于：　行業(yè)標準/規(guī)范的具體指標　主管部門的規(guī)定的具體指標　信息系統(tǒng)的運營、使用單位基于特定安全環(huán)境或者業(yè)務應用提出的具體指標分類 子類 附加要求 測評項數(shù)1　測評對象　測評對象選擇方法描述本次等級測評中采用的測評對象選擇方法和具體規(guī)則，通常采用抽查的方法，兼顧類別與數(shù)量?！★L險分析方法本項目依據(jù)安全事件可能性和安全事件后果對信息系統(tǒng)面臨的風險進行分析，分析過程包括：1）判斷信息系統(tǒng)安全保護能力缺失（等級測評結果中的部分符合項和不符合項）被威脅利用導致安全事件發(fā)生的可能性，可能性的取值范圍為高、中和低；2）判斷安全事件對信息系統(tǒng)業(yè)務信息安全和系統(tǒng)服務安全造成的影響程度，影響程度取值范圍為高、中和低；3）綜合 1）和 2）的結果對信息系統(tǒng)面臨的風險進行匯總和分等級，風險等級的取值范圍為高、中和低；4）結合信息系統(tǒng)的安全保護等級對風險分析結果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險?！栴}分析匯總工具測試的結果，分析信息系統(tǒng)中存在的主要問題。針對主要的安全問題提出系統(tǒng)安全建設、整改建議。有時候覺得自己像