1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 管理系统

信息系统现场测评所需资料.docxVIP

  • 0
  • 0
  • 约2.73千字
  • 约 9页
  • 2026-01-20 发布于广东
  • 举报

信息系统现场测评所需资料.docx

    PAGE7

    信息系统现场测评所需资料

    序号

    测评项

    所需资料

    涉及内容

    备注

    安全管理制度

    管理制度

    信息安全工作总体方针和安全策略

    包括安全工作总体目标、范围、原则和安全框架等

    信息安全工作日常管理制度

    包括机房、网络、系统、应用、数据、运维等相关管理系统

    信息安全工作日常管理操作规程

    包括各工作流程、操作手册等

    制定和发布

    安全管理制度编制、发布流程或制度

    包括编制、评审、审批、发布、通告、修订、更新等

    评审和修订

    安全管理制度定期评审、修订、更新记录

    管理制度评审记录、评审会议签到、修订的管理制度

    安全管理机构

    岗位设置

    领导小组

    网络安全领导小组组成和职责文档

    系统管理部门组织结构图

    包括安全主管、各安全负责人、各管理员岗位职责

    管理员岗位:机房管理员、网络管理员、数据库管理员、主机管理员、安全管理员等

    职能部门的职责

    职能部门职责文档

    人员配备

    各岗位人员任命相关文件

    注:安全管理员需专岗专职

    授权和审批

    各授权审批事项记录

    包括设备采购审批、维修审批、机房出入审批、设备操作/设置/更新审批、网络接入审批等

    沟通与合作

    部门之内及与其他部门之间会议纪要

    如各信息安全问题处理讨论会议,部门之内每周例会纪要等

    与外部单位的联系沟通

    如与网安部门、信息安全专家、供应商等的沟通记录或会议记录

    审核和检查

    定期安全检查记录

    包括机房日常安全检查、系统日常运行状态检查、系统漏洞修补情况检查、数据备份检查,检查通报文件

    人员安全管理

    人员录用

    人员录用相关资料

    /

    各工作人员保密协议

    保密要求、安全责任、离职保密义务等

    人员离岗

    人员离岗相关资料

    如权限撤销、账户删除等记录

    人员培训与考核

    各工作人员工作技能考核资料

    培训考试成绩、部门内容信息安全工作考核记录

    安全意识教育和培训

    年度安全教育和培训计划

    针对不同岗位制定不同培训计划

    各安全教育及培训记录

    培训记录、培训签到表等

    信息安全责任及惩戒措施相关规定或制度

    /

    违反安全策略及规定的相关惩戒记录

    /

    外部人员访问管理

    外部人员访问受控区域流程或规定

    如机房访问等,包括申请、审批、授权、备案等内容

    外部人员访问受控网络

    相应的管理制度、入网申请记录、入网登记记录、权限注销记录、入网保密协议

    系统建设管理

    安全方案设计

    信息系统的安全方案

    包括系统安全保护要求、策略和措施等内容

    信息系统的详细设计方案

    包括安全系统建设、安全产品采购和使用等内容

    系统安全方案及详细设计方案的评审记录

    /

    产品采购和使用

    IT相关安全产品采购方式及相关使用规定

    /

    密码相关产品采购方式及使用规定

    /

    自行软件开发

    软件开发管理制度

    包括开发过程控制方法和人员行为准则

    软件设计文档及使用指南

    软件设计需求文档、设计方案、源代码、系统操作使用说明书等

    外包软件开发

    恶意代码检测

    恶意代码检测报告

    软件设计文档和使用指南

    /

    安全性检测

    如:源代码审计报告

    工程实施

    信息系统建设工程实施方案

    工程管理制度、工程实施方案

    第三方监理

    第三方监理报告

    测试验收

    系统安全性测试报告

    /

    系统测试验收方案

    根据设计方案和相关合同要求制定的测试方案,验收方案

    系统测试验收报告

    包括验收过程资料、验收报告及报告评审记录

    系统交付

    系统交付清单

    包括交接的设备、软件及文档

    系统维护、使用人员培训记录

    指导系统维护及使用人员进行系统维护及操作使用的培训记录

    系统建设文档和指导运维的文档

    系统安全方案、设计方案、建设施工方案、测试验收方案、系统测试验收报告、各方案及报告评审记录、系统使用操作指南等

    安全服务商选择

    设备采购、技术支持服务合同

    安全责任、违约责任、设备或服务清单等、定期的供应商服务评审报告

    系统运维管理

    环境管理

    机房管理制度

    包括机房安全、机房人员出入、机房设备出入、机房环境、机房维护等内容

    机房设施维护维修记录

    /

    办公环境相关保密规定

    /

    资产管理

    信息系统相关资产清单

    /

    资产安全管理制度

    包括责任人员、责任部门、资产管理和使用行为规范等

    介质管理

    介质安全管理制度

    包括介质管理、维修、外借、使用、标识、分类等内容

    介质归档、查询及盘点记录

    /

    介质使用/维修/销毁记录

    /

    设备管理

    信息系统相关设备安全管理制度

    设备采购申报、审批、选型、发放、领用等内容

    信息系统相关设备操作和使用规范

    包括设备启动/停止、加电/断电等

    信息系统相关设备维护维修记录

    /

    信息处理设备外带审批记录

    /

    存储介质报废或重用处理

    处理记录

    网络安全管理

    网络安全管理制度

    包括网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等

    网络设备更新、升级记录

    网络设备操作系统补丁升级更新

    网络系统定期漏洞扫描记录

    /

    网络配置文件定期备份记录

    设备配置文件

    与外部系统连接审批记录

    /

    系统安全管理

    系统

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >