网络安全等级测评报告模版（2025版）

微信扫码，打开到小程序

网络安全等级保护 [被测对象名称]等级测评报告 被测单位： 测评单位： 报告时间： 年 月 日 报告编号 XXXXXXXXXXX-XXXXX-XX-XXXX-XX 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 说明： 一、每个备案系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下： 第一组为系统备案表编号，由 2 段共 16 位数字组成，可以从公安机 关颁发的系统备案证明（或备案回执）上获得。第 1 段即备案证明 编号的前 11 位（前 6 位为受理备案公安机关代码，后 5 位为受理备 案的公安机关给出的备案单位的顺序编号）；第 2 段即备案证明编 号的后 5 位（系统编号）。 第二组为年份，由 2 位数字组成。例如 09 代表 2009 年。 第三组为机构代码，由网络安全等级测评与检测评估机构服务认证 证书编号最后四位数字组成。 第四组为本年度系统测评次数，由两位构成。例如 02 表示该系统本 年度测评 2 次。 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 网络安全等级测评基本信息表 被测对象 被测对象名称 安全保护等级 备案证明编号 统一社会信用代码 被测单位 单位名称 单位地址 邮政编码 联系人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 测评单位 单位名称 机构代码 单位地址 邮政编码 联系人 姓 名 职务/职称 所属部门 办公电话 移动电话 电子邮件 审核批准 编制人 （签字） 编制日期 审核人 （签字） 审核日期 批准人 （签字） 批准日期 网络安全等级测评基本信息表 I 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 声明 【填写说明：声明是测评机构对测评报告的有效性前提、测评结论 的适用范围以及使用方式等有关事项的陈述，测评机构可参考以下 建议内容编制。】 本报告是[被测对象名称]（备案证明编号：[备案证明编号]）的等级 测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性 基础之上。 本报告中给出的测评结论仅对被测对象当时的安全状态有效。当测 评工作完成后，由于被测对象发生变更而涉及到的系统构成组件 （或子系统）本报告不再适用。 本报告中给出的测评结论不能作为对被测对象内部部署的相关系统 构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原 有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。 单位名称（加盖单位公章或等级测评业务专用章） 年 月 声明 II 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 等级测评结论 【填写说明：表项“第 Z 级（SXAY）”中，“第 Z 级”表示被测对象的安全保护等级， “Z”的取值为（一、二、三、四或五）；“SX”和“AY”分别表示被测对象的业务信 息和系统服务安全保护等级，X 和 Y 的取值为（1、2、3、4 或 5），如第三级 （S3A3）。如果被测对象由独立定级的云计算平台或大数据平台提供平台支撑 ， 或者自身为独立定级的云计算平台或大数据平台，则需填写等级测评结论扩展 表（云计算安全）或等级测评结论扩展表（大数据安全），否则删除等级测评 结论扩展表。】 测评结论和重大风险隐患 被测对象名称 安全保护等级 第 Z 级（SXAY） 扩展要求 应用情况 云计算 移动互联 物联网 工业控制系统 大数据 其他_______ 被测对象描述 【填写说明：简要描述被测对象承载的业务功能等基本情况，包括被测 对象的子系统情况，建议不超过 300 字】 安全状况描述 【填写说明：根据实际测评情况简要描述被测对象的整体安全状况，包 括最主要的中高风险安全问题及数量，建议不超过 400 字】 【参考示例】 本次安全等级测评采用访谈、核查和测试等测评方法，对【被测对象名 称】的【物理机房、网络架构、网络设备、安全设备、系统管理软件、 主机操作系统、数据库管理系统、业务应用系统、数据资源、管理制 度】等具体对象实施了测评。通过测评发现，在安全技术方面具备【网 络结构冗余、区域边界隔离、边界访问控制、双因子身份鉴别、账户权 限控制、操作日志审计、入侵检测、恶意代码查杀、设备冗余部署、数 据定期备份】等安全技术措施。在安全管理方面【制定了信息安全管理 体系及相关制度和流程，具备实施记录，组建了安全运维团队】。 本次安全等级测评共发现【被测对象名称】存在高风险问题【X】个， 中风险问题【X】个，低风险问题【X】个。【被测对象名称】技术方面 尚有一些问题需要整改和完善，信息安全管理体系执行情况还可以进一 步提高。 等级测评结论 III 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 等级测评结论 【填写说明：除填写测评结论外， 还需加盖测评机构单位公章或等级 测评业务专用章】 重 大 风 险 隐 患数量 等级测评结论 IV 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 重大风险隐患及整改建议 【填写说明：描述被测对象存在的全部重大风险隐患，并提出整改建议，整改 建议应具有针对性、全面性、整体性。既要保证相关整改建议能够落地实施， 又要能够全面的、系统性解决所面临的重大风险隐患。 对于在测评过程中所发现的重大风险隐患已完成整改的，需如实描述，同时注 明（已整改）。如果没有重大风险隐患，则注明未发现重大风险隐患，例如“经 过单项测评结果判定和整体测评，未发现[被测对象名称]存在重大风险隐患。”。 测评机构可参考以下示例编制。】 经过单项测评结果判定和整体测评，[被测对象名称]存在重大风险隐患 XX 项，截止报告发布日期，已完成整改 XX 项，剩余 XX 项未整改。本次测评过 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 而成；同时应定期排查空口令、弱口令、通用口令的使用情况，及时发现并阻 止账户口令违规行为，确保账户安全。 （2）获取被测系统权限导致非授权人员访问系统和获取重要权限，造成业 务中断、重要数据泄露等严重后果。（已整改） 整改建议：无。 （3）重大风险隐患 3 描述 整改建议：整改建议描述 重大风险隐患及整改建议 V 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 等级测评结论扩展表（云计算安全） 【填写说明】 1、“被测对象云计算形态”用于明确被测对象是云计算平台还是云服务客户业务 应用系统，此处为单选。“被测对象采用的云计算服务模式”用于描述被测对象所 采用的云计算服务模式，此处为单选。当云计算形态为云服务客户业务应用系 统时，“云计算平台名称”填写该被测对象所使用的云计算平台名称。 2、“云计算平台服务能力描述”给出了当前服务模式下云计算平台为云服务客户 提供的服务能力符合情况，以及云计算平台的等级测评结论和综合得分。需要 注意的是，表中以第四级为例给出了云计算安全扩展主要要求，测评机构应根 据被测对象安全保护等级情况，参照表中内容给出相应等级的云计算安全扩展 主要要求。 3、如果云服务客户业务应用系统同时部署在不同模式的云计算平台上时，可以 使用多个等级测评结论扩展表（云计算安全）来展示。 4.当被测对象不涉及相关扩展要求时，删除该结论扩展表。 【说明结束】 等级测评结论扩展表（云计算安全） 被测对象云计 算形态 云计算平台 云服务客户业务应用系统（平台报告编号： ） 【填写说明：填写该云服务客户业务应用系统在当前服务模式下所使用 的云计算平台的等级测评报告编号。】 云计算平台名 称 被测对象采用的 云计算服务模式  IaaS  PaaS  SaaS 云计算平台服务能力描述 云计算安全扩展主要要求 符合情况 网络架构 b)应实现不同云服务客户虚拟网络之间的隔离； c)应具有根据云服务客户业务需求提供通信传输、边界防 护、入侵防范等安全机制的能力； 等级测评结论扩展表（云计算安全） VI 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 e)应提供开放接口或开放性安全服务，允许云服务客户接入 第三方安全产品或在云计算平台选择第三方安全服务； f)应提供对虚拟资源的主体和客体设置安全标记的能力，保 证云服务客户可以依据安全标记和强制访问控制规则确定主 体对客体的访问； g) 应提供通信协议转换或通信协议隔离等的数据交换方式， 保证云服务客户可以根据业务需求自主选择边界数据交换方 式。 入侵防范 a)应能检测到云服务客户发起的网络攻击行为，并能记录攻 击类型、攻击时间、攻击流量等。 安全审计 b)应保证云服务商对云服务客户系统和数据的操作可被云服 务客户审计。 数据完整性和 保密性 c)应使用校验技术或密码技术保证虚拟机迁移过程中重要数 据的完整性，并在检测到完整性受到破坏时采取必要的恢复 措施； d)应支持云服务客户部署密钥管理解决方案，保证云服务客 户自行实现数据的加解密过程。 数据备份恢复 b)应提供查询云服务客户数据及备份存储位置的能力； d)应为云服务客户将业务系统及数据迁移到其他云计算平台 和本地系统提供技术手段，并协助完成迁移过程。 剩余信息保护 b)云服务客户删除业务应用数据时，云计算平台应将云存储 中所有副本删除。 供应链管理 b)应将供应链安全事件信息或安全威胁信息及时传达到云服 务客户。 云计算平台等级测评结论 云计算平台重大风险隐患数 量 等级测评结论扩展表（云计算安全） VII 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 等级测评结论扩展表（大数据安全） 【填写说明】 1、“被测对象大数据形态”用于明确被测对象的大数据形态是否包括大数据平台 大数据应用或大数据资源，此处为多选。当大数据形态为大数据应用或大数据 资源时，“大数据平台名称”填写承载大数据业务所使用的大数据平台名称。 2、“大数据平台服务能力描述”给出了大数据平台的服务能力符合情况，以及大 数据平台的等级测评结论和综合得分。需要注意的是，表中以第四级为例给出 了大数据安全扩展主要要求，测评机构应根据被测对象安全保护等级情况，参 照表中内容给出相应等级的大数据安全扩展主要要求。 3.当被测对象不涉及相关扩展要求时，删除该结论扩展表。 【说明结束】 等级测评结论扩展表（大数据安全） 被 测 对 象 大 数据形态 大数据平台 大数据应用（平台报告编号： ） 大数据资源（平台报告编号： ） 【填写说明：当大数据资源或大数据应用采用大数据平台提供方提供平 台支撑时，平台报告编号为该大数据平台的等级测评报告编号。】 大 数 据 平 台 名称 大数据平台服务能力描述 大数据安全扩展主要要求 符合情况 数据隔离 b)应保证大数据平台的管理流量与系统业务流量分离； g)对外提供服务的大数据平台，平台或第三方只有在大数据 应用授权下才可以对大数据应用的数据资源进行访问、使用 和管理； n)大数据平台应保证不同客户大数据应用的审计数据隔离存 放。 静 态 脱 敏 和 去标识化 f)大数据平台应提供静态脱敏和去标识化的工具或服务组件技 术。 等级测评结论扩展表（大数据安全） VIII 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 安全审计 n)大数据平台应提供不同客户审计数据收集汇总和集中分析 的能力。 访问控制 i)大数据平台应提供设置数据安全标记功能，基于安全标记的 授权和访问控制措施，满足细粒度授权访问控制管理能力要 求。 数 据 分 类 分 级的标识 h)大数据平台应提供数据分类分级安全管理功能，供大数据 应用针对不同类别级别的数据采取不同的安全保护措施； j)大数据平台应在数据采集、存储、处理、分析等各个环节， 支持对数据进行分类分级处置，并保证安全保护策略保持一 致； o)大数据平台应具备对不同类别、不同级别数据全生命周期 区分处置的能力。 数据溯源 m)应跟踪和记录数据采集、处理、分析和挖掘等过程，保证 溯源数据能重现相应过程，溯源数据满足合规审计要求。 资源管理 c)大数据平台应为大数据应用提供集中管控其计算和存储资 源使用状况的能力； e)大数据平台应屏蔽计算、内存、存储资源故障，保障业务 正常运行。 大数据平台等级测评结论 大数据平台重大风险 隐患情况 等级测评结论扩展表（大数据安全） IX 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 目录 网络安全等级测评基本信息表.......................................................................................................I 声明 II 等级测评结论................................................................................................................................III 重大风险隐患及整改建议............................................................................................................IV 等级测评结论扩展表（云计算安全）..........................................................................................V 等级测评结论扩展表（大数据安全）.......................................................................................VII 1 测评项目概述.................................................................................................................. 1 1.1 测评目的.................................................................................................................. 1 1.2 测评依据.................................................................................................................. 1 1.3 测评过程.................................................................................................................. 2 1.4 报告分发范围........................................................................................................... 2 2 被测对象描述.................................................................................................................. 2 2.1 被测对象概述........................................................................................................... 2 2.1.1 定级结果........................................................................................................... 2 2.1.2 业务和采用的技术...........................................................................................2 2.1.3 网络结构........................................................................................................... 3 2.2 测评指标.................................................................................................................. 3 2.2.1 安全通用要求指标...........................................................................................3 2.2.2 安全扩展要求指标...........................................................................................3 2.2.3 其他安全要求指标...........................................................................................4 2.2.4 不适用安全要求指标........................................