信息系統(tǒng)安全測評

1、信息系統(tǒng)安全測評文檔準備指南委托單位（公章）： 系統(tǒng)名稱：委托日期：中國信息安全測評中心一、文檔提交要求當委托機構正式委托中國信息安全測評中心對其信息系統(tǒng)實施安全測評時， 為了使測評人員在現(xiàn)場測評前期就能夠對被評估系統(tǒng)有清晰而全面地了解，委托機構應根據(jù)申請的測評類型準備文檔。委托測評類型主要包括：1 .信息安全風險評估2 .信息系統(tǒng)安全等級保護測評3 .信息系統(tǒng)安全評估4 .遠程滲透測試5 .系統(tǒng)安全技術監(jiān)控6 .信息系統(tǒng)安全方案評審需準備的測評文檔主要包括：1 .信息系統(tǒng)基本情況調查表2 .信息系統(tǒng)安全技術方案3 .信息安全管理組織架構4 .信息安全管理制度委托單位在準備測評文檔時，應根據(jù)所

2、申請的測評業(yè)務類型準備相應的文檔。二者對應關系如下:y檔類型委托測評藐、彳口息系紈基本情況調查表信息系統(tǒng)安 全技術方案信息安全管理組織架構信息安全管理制度信息安全風險評估VVVV信息系統(tǒng)安全等級保護測評VVVV信息系統(tǒng)安全評估VVVV遠程滲透測試系統(tǒng)安全技術監(jiān)控VV信息系統(tǒng)安全方案評審V、準備文檔時需注意的問題1 .保證提交文檔內(nèi)容真實、全面、詳細、準確。2 .將提交文檔與委托書一并提交。3 .提交材料時，應提交紙版和電子版文檔（光盤形式）各一份附件一信息安全管理組織機構至少包括下列內(nèi)容：1、科技部門整體組織架構2、信息安全管理組織架構圖。3、 IT 運維部門設置、崗位設置及職責要求，以及人員

3、與崗位的對應關系。4、如果 IT 運維外包， 請?zhí)峁┩獍丈坛袚膷徫弧?職責以及人員與崗位的對應關系。信息安全管理制度附件二至少包括下列內(nèi)容：1. 文檔制度體系結構說明及信息安全管理制度清單（如果有，請?zhí)崆罢f明。例如文檔是按照ISO9000文檔規(guī)范組織的）2. 機構總體安全方針和政策方面的管理制度3. 授權審批、審批流程等方面的管理制度4. 安全審核和安全檢查方面的管理制度5. 管理制度、操作規(guī)程修訂、維護方面的管理制度6. 人員錄用、離崗、考核等方面的管理制度7. 人員安全教育和培訓方面的管理制度8. 第三方人員訪問控制方面的管理制度9. 工程實施過程管理方面的管理制度10. 產(chǎn)品選型、

4、采購方面的管理制度11. 軟件外包開發(fā)或自我開發(fā)方面的管理制度12. 測試、驗收方面的管理制度13. 機房安全管理方面的管理制度14. 辦公環(huán)境安全管理方面的管理制度15. 資產(chǎn)、設備、介質安全管理方面的管理制度16. 信息分類、標識、發(fā)布、使用方面的管理制度17. 配套設施、軟硬件維護方面的管理制度18. 網(wǎng)絡安全管理（網(wǎng)絡配置、帳號管理等）方面的管理制度19. 系統(tǒng)安全管理（系統(tǒng)配置、帳號管理等）方面的管理制度20. 系統(tǒng)監(jiān)控、風險評估、漏洞掃描方面的管理制度21. 病毒防范方面的管理制度22. 系統(tǒng)變更控制方面的管理制度23. 密碼管理方面的管理制度24. 備份和恢復方面的管理制度25. 安全事件報告和處置方面的管理制度26. 系統(tǒng)應急預案27. 系統(tǒng)問題管理。附件三信息系統(tǒng)安全技術方案至少包括下列內(nèi)容：1信息系統(tǒng)建設的背景、目的2信息系統(tǒng)的主要業(yè)務功能、使用用戶和業(yè)務信息流3信息系統(tǒng)的安全需求4信息系統(tǒng)安全功能設計4.1 描述應用軟件的安全功能一般的安全機制包括身份鑒別、訪問控制、安全審計、通信安全、抗抵賴、軟件容錯、資源控制、代碼安全等。4.2 描述網(wǎng)絡層采取的安全設置一般的安全機制包括結構安全與網(wǎng)段劃分、網(wǎng)絡訪問控制、網(wǎng)絡安全審計、 邊界完整性檢查、網(wǎng)絡入侵防范、惡意代碼防范等。4.3 描述系統(tǒng)層采取的安