测评报告应包括但不局限于以下内容:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评报告、整改建议等。
其中,概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据;被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容,有改动的地方应根据实际测评情况进行修改。
输入:测评方案,单元测评的结果记录和结果汇总部分,整体测评部分,风险分析和评价部分、等级测评报告部分。
任务描述:
a) 测评人员整理前面几项任务的输出/产品,编制测评报告相应部分。一个测评委托单位应形成一份测评报告,如果一个测评委托单位内有多个被测系统,报告中应分别描述每一个被测系统的等级测评报告情况。
b) 针对被测系统存在的安全隐患,从系统安全角度提出相应的改进建议,编制测评报告的安全建设整改建议部分。
c) 列表给出现场测评的文档清单和单项测评记录,以及对各个测评项的单项测评结果判定情况,编制测评报告的单元测评的结果记录和问题分析部分。
d) 测评报告编制完成后,测评机构应根据测评协议书、测评委托单位提交的相关文档、测评原始记录和其他辅助信息,对测评报告进行评审。
e) 评审通过后,由项目负责人签字确认并提交给测评委托单位。
输出/产品:经过评审和确认的被测系统二级信息系统报告。
信息安全等级测评更多内容您可点击下方信创致远官网链接查看,信创致远http://www.dengbao110.com/。
(二)分析与报告编制活动的输出文档
分析与报告编制活动的输出文档及其内容如表10所示:
(三)分析与报告编制活动中双方的职责
测评机构职责:
a) 分析并判定单项测评结果和整体测评结果。
b) 分析评价被测系统存在的风险情况。
c) 根据测评结果形成等级测评结论。
d) 编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。
e) 评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。
f) 将生成的过程文档归档保存,并将测评过程中生成的电子文档清除。
测评委托单位职责:
a) 签收测评报告。