安全測評委托書

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)編號：BJTEC-20XX-XXXX/XXXXXX信息系統(tǒng)安全測評委托書委托單位(公章)：委托系統(tǒng):委托日期：北京信息安全測評中心填表說明用戶填寫和提供的信息及資料應(yīng)保證真實(shí)可靠。本委托表請?jiān)谟?jì)算機(jī)上填寫，內(nèi)容以實(shí)際情況為準(zhǔn)。如填寫內(nèi)容較多，可另附頁。準(zhǔn)備一份紙版（包括要求的附件內(nèi)容，并加蓋單位公章），同時(shí)交電子版一份（光盤）。

委托單位聯(lián)系信息部門:部門負(fù)責(zé)人:電話:手機(jī):聯(lián)系人:電話:手機(jī):傳真:電子郵箱:聯(lián)系地址:郵政編碼:

提交資料清單一、基本材料《信息系統(tǒng)安全等級保護(hù)備案表》《信息系統(tǒng)安全等級保護(hù)備案表》要求的相關(guān)附件：定級報(bào)告系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明（要求描述）說明：對于系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明，用戶提供的資料中應(yīng)詳細(xì)說明被測系統(tǒng)涉及網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量、IP網(wǎng)段設(shè)置情況、VLAN的劃分情況、采用網(wǎng)絡(luò)操作系統(tǒng)類型、不同應(yīng)用系統(tǒng)客戶機(jī)數(shù)量。用戶應(yīng)提供本單位詳細(xì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提供所有網(wǎng)絡(luò)設(shè)備的產(chǎn)品名稱、型號、連接方式、具體安放位置及其它相關(guān)信息；對于被測服務(wù)器，需提供具體IP地址的設(shè)置、采用的操作系統(tǒng)及設(shè)置情況；對于特殊網(wǎng)絡(luò)設(shè)置，如虛聯(lián)接等，需詳細(xì)說明其實(shí)現(xiàn)方式。安全組織機(jī)構(gòu)說明系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明系統(tǒng)相關(guān)的主要服務(wù)商及其資質(zhì)其他：專家評審意見（如有）安全測評報(bào)告（如有）二、系統(tǒng)資料網(wǎng)絡(luò)系統(tǒng)：網(wǎng)絡(luò)安全域的劃分情況；網(wǎng)絡(luò)的訪問控制策略；網(wǎng)絡(luò)設(shè)備、安全設(shè)備審計(jì)功能的設(shè)計(jì)與實(shí)現(xiàn)；非法外聯(lián)、非法接入控制措施；入侵防范及惡意代碼防范部署情況；網(wǎng)絡(luò)和安全設(shè)備管理員身份鑒別方式；邊界和核心交換設(shè)備保護(hù)措施；主機(jī)系統(tǒng)：各操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)采用的鑒別方式（賬號/密碼或其他方式）；服務(wù)器遠(yuǎn)程管理安全策略（是否允許遠(yuǎn)程管理、傳輸加密要求）；服務(wù)器中各用戶對資源的訪問控制策略（敏感信息資源清單，用戶權(quán)限分配策略、系統(tǒng)賬號列表及各賬號用途）；主要服務(wù)器必須開放的端口及其用途；服務(wù)器提供其功能所必需的操作系統(tǒng)組件及其他軟件清單；設(shè)計(jì)/驗(yàn)收文檔；管理：已有安全管理制度列表；單位已經(jīng)正式發(fā)布的信息安全策略和方針文檔；單位組織架構(gòu)和相關(guān)人員數(shù)；信息安全管理部門和崗位職責(zé)定義文檔；員工安全培訓(xùn)計(jì)劃和記錄；軟件開發(fā)管理相關(guān)規(guī)定；機(jī)房管理規(guī)定；辦公環(huán)境管理規(guī)定（包括物理辦公桌面和終端計(jì)算機(jī)桌面安全管理等）；資產(chǎn)安全管理規(guī)定和資產(chǎn)清單（清單格式）；介質(zhì)安全管理規(guī)定；備份和恢復(fù)管理規(guī)定；信息安全事件管理規(guī)定；程序源代碼庫訪問規(guī)程；用戶口令管理規(guī)定；系統(tǒng)應(yīng)急預(yù)案；機(jī)房驗(yàn)收文檔；網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用運(yùn)行維護(hù)操作規(guī)程。應(yīng)用系統(tǒng)：應(yīng)用系統(tǒng)建設(shè)目的與依據(jù)；系統(tǒng)的應(yīng)用需求及總體設(shè)計(jì)方案；應(yīng)用系統(tǒng)用戶身份鑒別方式（賬號/密碼、數(shù)字證書等）；應(yīng)用系統(tǒng)賬號管理及其權(quán)限管理的操作流程；網(wǎng)絡(luò)信息流描述（需用戶提供其應(yīng)用系統(tǒng)的詳細(xì)數(shù)據(jù)流轉(zhuǎn)過程，包括數(shù)據(jù)的生成、處理、分發(fā)、查詢等流程）；是否有敏感數(shù)據(jù)，如有請列出，并說明針對這些資源的訪問控制策略；安全審計(jì)功能實(shí)現(xiàn)情況（包括審計(jì)范圍、審計(jì)事件類型、審計(jì)記錄的內(nèi)容。）應(yīng)用系統(tǒng)鑒別信息、業(yè)務(wù)敏感信息存儲和傳輸時(shí)是否采用了完整性和機(jī)密性保護(hù)措施；應(yīng)用系統(tǒng)的故障恢復(fù)能力（如：服務(wù)器、數(shù)據(jù)庫、中間件的冗余設(shè)置，程序、代碼及文件的備份情況）；軟件設(shè)計(jì)/測試/驗(yàn)收文檔；應(yīng)用系統(tǒng)功能說明文檔、用戶使用手冊。源代碼（可選）：未經(jīng)封裝的、完整的應(yīng)用系統(tǒng)源代碼（不包含測試等無效代碼）；系統(tǒng)采用的開發(fā)技術(shù)（參見附表：信息系統(tǒng)技術(shù)調(diào)查表）系統(tǒng)的開發(fā)環(huán)境（參見附表：開發(fā)環(huán)境調(diào)查表）信息系統(tǒng)技術(shù)調(diào)查表系統(tǒng)名稱系統(tǒng)功能系統(tǒng)最終用戶系統(tǒng)架構(gòu)設(shè)計(jì)語言C/C++ JSP JavaASP.NET C# VB.NETXML PL/SQL T-SQLASPPHPVBJavaScript其它_____________________________________________代碼行數(shù)（大約）_________萬級文件大小_________________k字節(jié)系統(tǒng)文件結(jié)構(gòu)系統(tǒng)類庫（包括版本號）應(yīng)用系統(tǒng)服務(wù)器（包括版本號）Tomcat WebLogic WebSphere

其它_____________________________________________系統(tǒng)使用的數(shù)據(jù)庫（包括版本號）OracleSQL-ServerMySQLDB2Other____________________________________________系統(tǒng)使用哪些第三方組件WEB系統(tǒng)是否屬于WEB2.0的系統(tǒng)？是/否使用哪些開源技術(shù)？StrutsHibernate/NHibernateSpring/NSpringAJAXWebWork其它_____________________________________________開發(fā)環(huán)境調(diào)查表部署軟/硬件環(huán)境（包括OS版本）Windows Linux Solaris

AIX MacOSX

其它____________________________________________X-Windows(Unix-only)如果部署平臺使用Unix/linux，是否安裝X-windows和gtk2是/否Build工具（包括版本）make/nmake ant VisualStudio

Eclipse WSAD/RAD

其它_____________________________________________使用的編譯器（包括版本）gcc/g++ cl csc

javac cc/CC icc

其它_______________________________