信息系统安全测评文档准备指南.docxVIP

信息系统安全测评文档准备指南 信息系统平安测评文档预备指南托付单位〔公章〕：系统名称：托付日期：中国信息平安测评中心一、文档提交要求当托付机构正式托付中国信息平安测评中心对其信息系统施行平安测评时，为了使测评人员在现场测评前期就可以对被评估系统有清楚而全面地理解，托付机构应依据申请的测评类型预备文档。托付测评类型主要包括：1．信息平安风险评估2．信息系统平安等级爱护测评3．信息系统平安评估4．远程浸透测试5．系统平安技术监控6．信息系统平安方案评审需预备的测评文档主要包括：1．《信息系统根本状况调查表》2．《信息系统平安技术方案》3．《信息平安管理组织架构》4．《信息平安管理制度》托付单位在预备测评文档时，应依据所申请的测评业务类型预备相应的文档。二者对应关系如下：二、预备文档时需留意的问题1．保证提交文档内容真实、全面、具体、精确。2．将提交文档与《托付书》一并提交。3．提交材料时，应提交纸版和电子版文档(光盘形式)各一份。附件一《信息平安管理组织机构》至少包括以下内容：1、科技部门整体组织架构2、信息平安管理组织架构图。3、IT运维部门设置、岗位设置及职责要求，以及人员与岗位的对应关系。4、假如IT运维外包，请供应外包效劳商担当的岗位、职责以及人员与岗位的对应关系。附件二《信息平安管理制度》至少包括以下内容：1.文档制度体系构造说明及信息平安管理制度清单〔假如有，请提早说明。例如文档是根据ISO9000文档标准组织的〕2.机构总体平安方针和政策方面的管理制度3.受权审批、审批流程等方面的管理制度4.平安审核和平安检查方面的管理制度5.管理制度、操作规程修订、维护方面的管理制度6.人员录用、离岗、考核等方面的管理制度7.人员平安训练和培训方面的管理制度8.第三方人员访问掌握方面的管理制度9.工程施行过程管理方面的管理制度10.产品选型、选购方面的管理制度11.软件外包开发或自我开发方面的管理制度12.测试、验收方面的管理制度13.机房平安管理方面的管理制度14.办公环境平安管理方面的管理制度15.资产、设备、介质平安管理方面的管理制度16.信息分类、标识、发布、用法方面的管理制度17.配套设施、软硬件维护方面的管理制度18.网络平安管理〔网络配置、帐号管理等〕方面的管理制度19.系统平安管理〔系统配置、帐号管理等〕方面的管理制度20.系统监控、风险评估、破绽扫描方面的管理制度21.病毒防范方面的管理制度22.系统变更掌握方面的管理制度23.密码管理方面的管理制度24.备份和复原方面的管理制度25.平安大事报告和处置方面的管理制度26.系统应急预案27.系统问题管理。附件三《信息系统平安技术方案》至少包括以下内容：1．信息系统建立的背景、目的2．信息系统的主要业务功能、用法用户和业务信息流3．信息系统的平安需求4．信息系统平安功能设计4.1描绘应用软件的平安功能一般的平安机制包括身份鉴别、访问掌握、平安审计、通信平安、抗抵赖、软件容错、资源掌握、代码平安等。4.2描绘网络层实行的平安设置一般的平安机制包括构造平安与网段划分、网络访问掌握、网络平安审计、边界完好性检查、网络入侵防范、恶意代码防范等。4.3描绘系统层实行的平安设置一般的平安机制包括后台用户的身份鉴别、访问掌握、平安审计等。4.4描绘针对此系统的特别平安掌握措施附件四《信息系统根本状况调查表》见EXCEL表。