1、信息系统安全测评文档准备指南委托单位(公章): 系统名称: 委托日期: 中国信息安全测评中心一、文档提交要求当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。 委托测评类型主要包括:1信息安全风险评估2信息系统安全等级保护测评3信息系统安全评估4远程渗透测试5系统安全技术监控6信息系统安全方案评审需准备的测评文档主要包括:1 信息系统基本情况调查表2 信息系统安全技术方案3 信息安全管理组织架构4 信息安全管理制度委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的
2、文档。二者对应关系如下:文档类型委托测评类型信息系统基本情况调查表信息系统安全技术方案信息安全管理组织架构信息安全管理制度信息安全风险评估 信息系统安全等级保护测评 信息系统安全评估 远程渗透测试系统安全技术监控 信息系统安全方案评审 二、准备文档时需注意的问题1 保证提交文档内容真实、全面、详细、准确。2 将提交文档与委托书一并提交。3 提交材料时,应提交纸版和电子版文档(光盘形式)各一份。附件一信息安全管理组织机构至少包括下列内容:1、科技部门整体组织架构2、信息安全管理组织架构图。3、IT 运维部门设置、岗位设置及职责要求,以及人员与岗位的对应关系。4、如果 IT 运维外包,请提供外包服
3、务商承担的岗位、职责以及人员与岗位的对应关系。附件二信息安全管理制度至少包括下列内容:1. 文档制度体系结构说明及信息安全管理制度清单(如果有,请提前说明。例如文档是按照 ISO9000 文档规范组织的)2. 机构总体安全方针和政策方面的管理制度3. 授权审批、审批流程等方面的管理制度4. 安全审核和安全检查方面的管理制度5. 管理制度、操作规程修订、维护方面的管理制度6. 人员录用、离岗、考核等方面的管理制度7. 人员安全教育和培训方面的管理制度8. 第三方人员访问控制方面的管理制度9. 工程实施过程管理方面的管理制度10. 产品选型、采购方面的管理制度11. 软件外包开发或自我开发方面的管
4、理制度12. 测试、验收方面的管理制度13. 机房安全管理方面的管理制度14. 办公环境安全管理方面的管理制度15. 资产、设备、介质安全管理方面的管理制度16. 信息分类、标识、发布、使用方面的管理制度17. 配套设施、软硬件维护方面的管理制度18. 网络安全管理(网络配置、帐号管理等)方面的管理制度19. 系统安全管理(系统配置、帐号管理等)方面的管理制度20. 系统监控、风险评估、漏洞扫描方面的管理制度21. 病毒防范方面的管理制度22. 系统变更控制方面的管理制度23. 密码管理方面的管理制度24. 备份和恢复方面的管理制度25. 安全事件报告和处置方面的管理制度26. 系统应急预案2
5、7. 系统问题管理。附件三信息系统安全技术方案至少包括下列内容:1信息系统建设的背景、目的2信息系统的主要业务功能、使用用户和业务信息流3信息系统的安全需求4信息系统安全功能设计4.1 描述应用软件的安全功能一般的安全机制包括身份鉴别、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。4.2 描述网络层采取的安全设置一般的安全机制包括结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等。4.3 描述系统层采取的安全设置一般的安全机制包括后台用户的身份鉴别、访问控制、安全审计等。4.4 描述针对此系统的特殊安全控制措施附件四信息系统基本情况调查表见 EXCEL 表。
