XXX单位等级保护测评报告.docxVIP

报告编号：

【2019版】

网络安全等级测评基本信息表 PAGE2

报告编号：XXX

网络安全等级保护

HIS系统等级测评报告

委托单位：

XXX单位

测评单位：

XXXX单位

报告时间：

2020年03月25日

说明：

一、每个备案系统单独出具测评报告。

二、测评报告编号为四组数据。各组含义和编码规则如下：

第一组为系统备案表编号，由2段16位数字组成，可以从公安机关颁发的系统备案证明（或备案回执）上获得。第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。

第二组为年份，由2位数字组成。例如09代表2009年。

第三组为测评机构代码，由测评机构推荐证书编号最后六位数字组成。其中，前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为北京，12为天津，13为河北，14为山西，15为内蒙古，21为辽宁，22为吉林，23为黑龙江，31为上海，32为江苏，33为浙江，34为安徽，35为福建，36为江西，37为山东，41为河南，42为湖北，43为湖南，44为广东，45为广西，46为海南，50为重庆，51为四川，52为贵州，53为云南，54为西藏，61为陕西，62为甘肃，63为青海，64为宁夏，65为新疆，66为新疆兵团。90为国防科工局，91为国家能源局，92为教育部。后四位为公安机关或行业主管部门推荐的测评机构顺序号。

第四组为本年度系统测评次数，由两位构成。例如02表示该系统本年度测评2次。

网络安全等级测评基本信息表 PAGEI

网络安全等级测评基本信息表

被测对象

被测对象名称

HIS系统

安全保护等级

第二级（S2A2）

备案证明编号

被测单位

单位名称

单位地址

邮政编码

联系人

姓名

职务/职称

所属部门

办公电话

移动电话

电子邮件

测评单位

单位名称

机构代码

单位地址

邮政编码

联系人

姓名

职务/职称

所属部门

办公电话

移动电话

电子邮件

审核批准

编制人

编制日期

审核人

审核日期

批准人

批准日期

声明 PAGEII

声明

本报告是HIS系统的等级测评报告。

本报告是对HIS系统的整体安全性进行检测分析，针对等级测评过程中发现的安全问题，结合风险分析，提出合理化建议。

本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。

本报告中给出的测评结论仅对被测对象当时的安全状态有效。当测评工作完成后，由于被测对象发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。

本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件（或产品）的测评结论。

在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。

XXXX单位

（加盖单位公章）

2020年03月25日

等级测评结论 PAGEIII

等级测评结论

测评结论和综合得分

被测对象名称

HIS系统

安全保护等级

第二级（S2A2）

等级保护对象形态

?传统IT系统

?云计算

?采用移动互联技术的系统

?物联网

?工业控制系统

?大数据

?其他系统

被测对象描述

HIS系统主要承载的业务是：综合信息处理和辅助决策支持，具体又可分为门诊管理、住院管理、药房管理、药库管理、院长查询、电子处方、物资管理、媒体管理等。

测评工作描述

受XXXX单位委托，XXXX单位对HIS系统进行了系统安全等级测评工作。本次安全测评的范围主要包括HIS系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面，对HIS系统进行综合测评。

本次等级测评分为六个过程：测评准备过程、方案编制过程、现场实施过程、用户单位整改过程、复测过程、分析与报告编制过程。具体如图1.1所示。其中，各阶段的时间安排如下：

1、2019年11月18日～2019年11月19日，测评准备过程。

2、2019年12月19日～2019年12月19日，方案编制过程。

3、2019年12月23日～2020年01月07日，现场实施过程。

4、2020年01月08日～2020年02月24日，用户单位整改过程。

5、2020年02月