信息系统入网安全测评管理规定.docVIP

PAGE 信息系统入网安全测评管理规定 共 SECTIONPAGES5 页 第 PAGE 5 页 信息系统入网安全测评管理规定 总则 编写目的 为加强XXXX公司管理信息系统入网安全测评(以下简称入网安评)工作，建立规范的安全检测流程体系，特制定本管理规定。 适用范围 本规定适用于XXXX公司及其下属各单位建设、运维的信息系统。 依据标准和规范 信息系统安全等级保护基本要求 XXXX公司信息安全管理办法 术语定义 信息系统 信息系统是一个以人为主导，利用计算机硬件、软件、网络通信设备以及其它办公设备，进行信息的收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支持企业高层决策、中层控制、基层运作的集成化的人机系统。 安全整改 安全整改是指对影响目标系统和设备性能的各种因素，如系统结构、电气特性和机械物理结构等，而采取相应的安全保护措施。 仿真测试 模拟系统的真实运行环境，将被测信息系统配置到测试环境进行的测试。 回归测试 指修复了初次测试发现的安全风险后，重新进行测试以确认修改没有引入新的风险或导致其他错误等。 职责 公司信息部 公司信息部是公司信息系统建设和安全测评的归口管理部门，负责指导、协调和考核公司信息系统建设、安全测评和整改工作。 信息中心 信息中心负责公司信息系统入网安评的具体实施、监督及技术指导。 信息系统建设单位 负责测评环境搭建，配合信息系统入网安评，负责根据测评结果实施安全整改工作。 工作规定 业务描述 入网安评是新系统上线前，根据系统在设计阶段定义的信息安全保护等级、安全设计方案实施的安全检测，其目的在于为系统是否能够上线运行提供度量依据。 入网安评结论为不合格的信息系统，建设方应实施整改，并重新申请入网安评，合格后才能上线运行。 测试对象 公司信息系统典型设计类、试点开发类、推广实施类等信息化项目需要进行信息系统入网安评。 原则上一类及二类信息化项目的评测工作由公司信息中心组织实施；三类项目的入网安评工作由直属各单位信息部组织实施，公司信息中心提供技术指导与支持，评测结果上报省公司信息中心备案。 测试内容 入网安评的内容包括：系统主机、数据库、中间件、应用系统、数据安全与备份恢复五大类。信息系统安全保护等级不同，测评指标有所差异，具体应由测评机构根据实际情况确定。 工作流程 工作流程图 测试申请 建设方提出测试申请，填写信息中心《测试申请表》，并详细说明软件测试要求、被测系统主要功能模块及测试需求等，提交信息中心。 测试实施 信息中心按照测试计划对被测系统实施入网安评测试，出具测试问题单及整改通知书，建设方负责配合完成测试工作。若使用仿真测试方法，需由信息中心提供硬件环境，建设方搭建仿真测试环境，并准备相关的测试数据。 安全整改及回归测试 对于初测具有重大安全隐患的信息系统，建设方应依据整改通知书、入网安评问题清单实施安全整改，整改完成后提交整改报告。信息中心需依据整改报告实施回归测试，原则上只做一次回归测试。 测试报告 测试完成后，信息中心应严格依据测试结果，出具《入网安评报告》，并加盖公司信息化评测实验室业务章。 准入准出条件 准入条件 建设方提交信息系统入网安评《测试申请表》、《系统安全设计方案》，经信息中心评审，同意测试后，该系统达到入网安评准入条件，可按照信息中心测试计划实施测试。 准出条件 信息系统经过测试、整改，符合入网安评合格判定条件，或经过回归测试，仍未达到入网安评合格判定条件，信息中心应依据回归测试结果，出具《入网安评报告》，本次入网安评工作结束。 测试合格判定条件 风险等级分类 安全风险等级 安全风险表现 高风险 风险发生的可能性高，较容易被利用，其后果对应用系统可用性、重要业务信息保密性、数据完整性造成严重影响的风险。 中风险 指可辨识的，在一定条件下可能被利用，造成应用系统服务可用性降低、信息完整性及保密性受到威胁，需要对其进行严密监控。 低风险 风险发生的可能性较低，可能造成系统一般信息泄露，系统服务可用性、重要信息不会受到影响，可以通过预防及监控等措施进行弥补。 合格判定条件 原则上，应用系统入网安评合格判定条件为：高风险、中风险均为零。 若经整改后，系统仍存在难以短期整改的中风险，经建设方提交书面说明，并由评测小组专家根据系统整体情况进行综合判定，如遗留的中风险对系统整体安全性影响在可接受范围，可以判定为基本合格。 判定为基本合格的系统可以上线运行，但是测评报告中必须要注明遗留的风险以及最终整改计划。 附则 本规定中未提及的事项应遵守XXXX公司的其它有关规定。 本办法由XXXX公司信息部负责解释。 本办法自颁布之日起执行。