以【2021版】报告模板为例。2021版等级测评报告模板修订总结,该文章介绍了模板中关于公式计算、格式以及说明文字的修订情况。
整个报告从头至尾可以划分为3个部分:汇总部分、正文部分、附录部分。
报告汇总部分
汇总部分为测评报告的概览,使客户可以方便快速的了解系统整体的情况,如评分等级、总体评价、系统存在的问题等。
封面、说明
报告封面的时间为报告编制完成的时间。
网络安全等级测评基本信息表
包含被测对象、被测单位和测评单位的基本信息,按照表项填写即可。
注意最后三行审核批准需要报告打印后手写。
声明
右下角时间需要与封面报告时间一致。
等级测评结论
按照表项填写即可。
被测对象描述一般描述被测对象的承担业务、业务主管部门(xxx是zzz的业务主管部门,xxx对该系统具有信息安全保护责任,xxx是该系统定级的责任单位)和网络架构基本情况(有哪些分区、每个分区有哪些设备、每个设备承担什么功能);
安全状况描述包括测评中发现的风险问题(数量以及主要问题罗列)、测评指标(总数、不适用数、符合率、部分符合率、不符合率)以及得分和结论。
等级测评结论扩展表(云计算安全)
确定被测对象是云平台还是云租户,云平台的话即向其他企业或个人提供云服务,是云服务商;云租户的话即使用云平台服务商提供的云服务,是云服务客户。如果是云租户的话,需要填写使用的云平台的报告编号(需要被测单位提供云平台的测评报告)。
还需要明确云计算服务模式,即IaaS、PaaS、SaaS。
云计算平台服务能力描述:首先需要根据被测对象的等级对照《GB∕T 22239-2019 信息安全技术 网络安全等级保护基本要求》中相应等级的要求排除不适用项。如果是云租户,其余项需要根据云平台测评报告中的内容填写相应的符合情况(主要安全问题中列出的项即为不符合项,其余为符合项);如果是云平台,其余项根据本次测评的结果填写。
等级测评结论扩展表(大数据安全)
该表类似于云计算安全的表,但是凭借我为数不多的测评经验,没有遇到过,所以其中的细节也不太清楚。
总体评价
该部分为测评对象的整体的测评项的说明,可以按照模板给出的格式,也有可能每个公司有自己的书写习惯,我属于后者。
总-分-总的结构:
总:类似于“为进一步推动网络安全等级保护工作的进展,落实《网络安全法》等相关法律、法规和标准要求,xxx委托aaa对zzz实施测评,以达到...目的。综合...对zzz的安全状况描述如下。”
分:在安全物理环境方面、安全通信网络方面、安全区域边界方面、安全计算环境方面、安全管理中心方面、安全管理方面这几个部分采取的安全措施,即符合的测评项。
总:测评得分、是否存在高风险、等级测评结论。
主要安全问题及整改建议
根据测评中的部分符合项和不符合项,进行风险等级判定,并给出相应的建议。可参考《网络安全等级保护测评高风险判定指引》。
高风险项必须要整改,实在无法整改的可以看下控制点间或者是区域间测评是否可以进行补偿,以此降低风险值。
中低风险项不要求必须整改,但当前计分方式改为了扣分计算,所以肯定是风险项越少,得分越高。
正文和附录部分
(内心os:拖了半年才继续写,最后发现2021版等级测评报告的红字部分已经描述的很清楚了,呜呜呜呜呜,我还在这里写个什么劲...)
看博客开头的那个链接就好啦~
不过还有一个小知识点,在写的时候需要注意,就是安全控制点间测评&区域间测评部分。
安全控制点间测评
安全控制点间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。在单项测评完成后,如果等级保护对象的某个安全控制点中的要求项存在不符合或部分符合,应进行安全控制点间测评,应分析在同一类内,是否存在其他安全控制点对该安全控制点具有补充作用(如物理访问控制和防盗窃、身份鉴别和访问控制等)。同时,分析是否存在其他的安全措施或技术与该要求项具有相似的安全功能。
通俗的比喻:没钱装防盗设备,带来这个测评项不符合,但是有请保安24小时值班看守,当然可以说有相应的措施,测评结果变成符合;如果连保安都请不起,只买了条大黄狗看门,这个补救措施只能起到部分作用,那么测评结果就变成部分符合。当然,也可以是综合影响:既请保安,又买大黄狗,保安打瞌睡的时候大黄狗可以cover漏洞,二者综合安全性能有所提升。
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。
区域间测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域,重点分析等级保护对象中访问控制路径(如不同功能区域间的数据流流向和控制方式等)是否存在区域间的相互补充作用。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。
例如,2级系统的数据库服务器如果部署在一个已经通过3级等保物理环境(机房),那么物理环境这块肯定是没问题的
根据测评分析结果,综合判断该安全控制点所对应的系统安全保护能力是否缺失,如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,则对该测评指标的测评结果予以调整。