1、信息系统安全测评申请书doc信息系统安全测评申请书申请单位: 申请日期: 河北省信息安全测评中心测 评 须 知信息系统安全测评的主要依据是GB/T 18336.1-2001信息技术 安全技术 信息技术安全性评估准则以及其他相关国家标准、行业标准和河北省信息安全测评中心确认的国际标准、开发编制的信息安全保密技术规范等标准化指导文件。告 用 户为保证党政机关信息系统的安全,河北省信息安全测评中心承诺:1、 根据有关信息安全管理的政策法规,按照党政机关信息系统安全测评规范对信息系统进行安全性测评。2、 测评本着科学、客观、公正的原则,如实反映被测评信息系统的真实情况。3、 河北省信息安全测评中心不将
2、测试数据和用户提交的任何信息提供给第三方。4、 用户提交的文档资料只限制在与该项目测评的有关工作人员使用。5、 河北省信息安全测评中心工作人员测评中,遵守对方单位的各项管理规定。6、 测评中心工作人员均与河北省信息安全测评中心签署了保密协议。7、 因河北省信息安全测评中心原因所造成的涉密信息泄漏,本中心承担法律责任。填 表 说 明用户填写和提供的信息及资料应保证真实可靠。1、 申请表编号由本中心编制填写。2、 申请表中“信息安全责任人”是指被测系统信息(安全)主管部门的领导。3、 申请表中“全职人员”与被测系统相关的专职人员。4、 本申请表请在计算机上填写,内容以实际情况为准。5、 如填写内容
3、较多,可另附页。6、 提交申请表及资料附件一式两份,申请表电子文档一份。申请单位联系信息部 门: 部门负责人: 电 话: 手 机: 联 系 人: 电 话: 手 机: 传 真: 电子邮箱: 联系地址: 邮政编码: 被测单位概况和申请意见组织管理状况被测系统名称信息安全主管部门信息安全责任人系统运行管理部门系统运行负责人专职人员数量兼职人员数量上级主管部门系统状况系统性质 党政机关 事业单位 其它系统建设状况 新建 已建 扩建 系统服务对象 内部应用 对外服务 其它系统信息特点 国家秘密 内部信息 其他敏感信息 公共信息对外连接关系 独立网络 与互联网连接 其它网络类型 局域网 园区网 城域网 广
4、域网(跨省市)投资规模(万元)网络结点数量申请意见单位主管部门领导签字: 单位盖章: 年 月 日 提交资料清单说明:下列需要提供的资料,若前面标有“”的为必须提供的资料,无标记的资料请用户根据自身情况和系统测评目的尽可能提供的。1. 技术资料1.1 系统设计资料,包括以下内容:1.1.1 建设目的与依据1.1.2 系统的应用需求及总体设计方案1.1.3 网络规模和拓扑结构1.1.4 网络信息流描述1.1.5 安全威胁描述及其风险分析1.1.6 系统的安全需求说明:对于网络规模,用户提供的资料中应详细说明其网络结点数量、IP网段设置情况、VLAN的划分情况、采用网络操作系统类型、不同应用系统客户
5、机数量。用户应提供本单位详细的网络拓扑结构,提供所有网络设备的产品名称、型号、连接方式、具体安放位置及其它相关信息;对于被测服务器,需提供具体IP地址的设置、采用的操作系统及设置情况;对于特殊网络设置,如虚联接等,需详细说明其实现方式;网络信息流描述,需用户提供其应用系统的详细数据流转过程,包括数据的生成、处理、分发、查询等流程。1.2 安全策略及体系设计,包括以下内容:1.2.1 系统安全策略规划1.2.2 系统安全功能及其实现方法1.2.3 主要软硬件设备及性能清单1.2.4 主要安全产品技术白皮书、产品资质证明、服务商资质。说明:用户应提供其网络操作系统、应用系统及物理环境的整体安全策略
6、,资料中应详细提供策略的实现方式,包括用户等级的划分,不同等级用户可访问的数据范围,对关键数据的保护措施等;采用的软、硬件安全产品情况及为实现安全策略所进行的具体配置信息;网络安全管理所采用的软、硬件产品配置及实现方法。1.3 应用系统使用、管理和维护手册1.4 系统工程实施资料1.5 系统验收资料2. 系统安全管理机构描述和管理制度的资料注:被测单位综合性管理文档中涉及多项管理制度,或某项管理制度在被测单位多份文档中体现的,要求用户按评测申请表的要求,详细指明各项制度在文档中所处位置。2.1 管理制度,包括下列内容:2.1.1 本单位系统适用的法律法规2.1.2 用户所在单位的管理部门颁发批
7、准的信息安全策略文档资料2.1.3 安全策略审查和评估的相关规定2.1.4 对应不同保密等级的不同保密规程及分类指南2.1.5 信息资产管理规定说明:企业的信息资产主要包括:- 数据库和数据文件,系统文档,用户手册,培训材料,操作或支持规程,连续性规划,后备运行安排,归档的信息;- 软件资产,如应用软件,系统软件,开发工具和实用程序;- 物理资产,如计算机设备、通信设备、磁媒体,其他技术设备、家具等;- 服务如计算和通信服务,一般公共服务,例如,供暖、照明、空调。2.1.6 安全事故处理规程2.1.7 有关物理安全的规定2.1.8 办公设施的保护措施相关文档2.1.9 资产移交的管理规定2.1
8、.10 电源的管理规定2.1.11 本单位信息处理设施管理规程2.1.12 事故管理规程2.1.13 系统数据检验和控制规程2.1.14 系统中软件的管理和措施文档说明:指信息系统中对软件的购买、安装、使用等相关规定。2.1.15 程序源代码库访问规程说明:指被测单位对源代码的获取、查询、修改等所做的相关规定,如源代码管理与第三方相关,需制定相应的制度。2.1.16 用户口令管理规定2.1.17 备份策略规程2.1.18 计算机媒体介质操作规程2.1.19 信息处置和存储规程2.1.20 使用网络和网络服务政策2.1.21 系统工具使用规程2.1.22 系统审计规程2.2 人员、机构与职责2.
9、2.1 安全决策机构组成的机构图及职责分工表2.2.2 安全管理人员的职责分工表2.2.3 安全顾问的聘任书2.2.4 安全管理人员履历及专业资格证书2.2.5 人员保密协议范本说明:保密协议用来告知信息是保密的或秘密的。被测单位内部人员一般要签署这样的一个协议,作为录用他们的最初期限和条件的一部分。2.2.6 人员岗位职责规定2.3 安全运行资料2.3.1 定期安全策略有效性审查和评估的记录2.3.2 召开安全管理会议的会议记要说明:根据规范规定,被测单位应定期召开安全管理例会,评审和批准安全策略和总体职责;监视信息资产暴露于主要威胁时的重大变更;评审和监控安全事件;批准所采取的安全措施,以
10、增强安全性。2.3.3 安全专家的建议记录2.3.4 设备维护记录2.3.5 访问控制策略文档2.3.6 定期的审计分析报告2.3.7 异常情况审计日志和安全事件记录3. 系统自测试报告3.1 委托其它测评机构进行测评的测试过程和测试报告及其结论3.2 成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论3.3 系统运行前由系统集成单位进行测试的方法和测试报告3.4 开发人员进行功能调试所采用的方法和检测手段4. 其它资料4.1 与第三方合作时签订的合约4.2 产品的法定安全测评机构的评估证书4.3 外部承包人管理信息处理设施的合同4.4 外包软件开发方的资料4.5 外包工作人员合
11、约4.6 质量手册用户提供文档说明注:用户根据提供资料的情况填写此表,对于已提供的资料,请在“用户提供文档情况”一栏中填写对应的用户文档名称,若测评所需的资料体现在用户文档的某一部分,请在此栏中详细注明具体位置,如页数、章节等。对于未能提供的必要文档,请说明原因。测评所需资料名称用户提供文档情况1.技术资料1.1 系统设计资料1.1.1 建设目的与依据1.1.2 系统的应用需求及总体设计方案1.1.3 网络规模和拓扑结构1.1.4 网络信息流描述1.1.5 安全威胁描述及其风险分析1.2 安全策略及体系设计1.2.1 系统安全策略规划1.2.2 系统安全功能及其实现方法1.2.4 主要软硬件设
12、备及性能清单1.2.5主要安全产品技术白皮书、产品资质证明、服务商资质1.3 应用系统使用、管理和维护手册1.4 系统工程实施资料1.5 系统验收资料2. 系统安全管理机构和管理制度的资料2.1 管理制度,包括下列内容:2.1.1 本单位系统适用的法律法规2.1.2 用户所在单位的管理部门颁发批准的信息安全策略文档资料2.1.3 安全策略审查和评估的相关规定2.1.4 对应不同保密等级的不同保密规程及分类指南2.1.5 信息资产管理规定2.1.6 安全事故处理规程2.1.7 有关物理安全的规定2.1.8 办公设施的保护措施相关文档2.1.9 资产移交的管理规定2.1.10 电源的管理规定2.1
13、.11 本单位信息处理设施管理规程2.1.12 事故管理规程2.1.13 系统数据检验和控制规程2.1.14 系统中软件的管理和措施文档2.1.15 程序源代码库访问规程2.1.16 用户口令管理规定2.1.17 备份策略规程2.1.18 计算机媒体介质操作规程2.1.19 信息处置和存储规程2.1.20 使用网络和网络服务政策2.1.21 系统工具使用规程2.1.22 系统审计规程2.2 人员、机构与职责2.2.1 安全决策机构组成的机构图及职责分工表2.2.2 安全管理人员的职责分工表2.2.3 安全顾问的聘任书2.2.4 安全管理人员履历及专业资格证书2.2.5 人员保密协议范本2.2.
14、6 人员岗位职责规定2.3 安全运行资料2.3.1 定期安全策略有效性审查和评估的记录2.3.2 召开安全管理会议的会议记要2.3.3 安全专家的建议记录2.3.4 设备维护记录2.3.5 访问控制策略文档2.3.6 定期的审计分析报告2.3.7 异常情况审计日志和安全事件记录3. 系统自测试报告3.1 委托其它测评机构进行测评的测试过程和测试报告及其结论3.2 成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论3.3 系统运行前由系统集成单位进行测试的方法和测试报告3.4 开发人员进行功能调试所采用的方法和检测手段4. 其它资料4.1 与第三方合作时签订的合约4.2 产品的法定安全测评机构的评估证书4.3 外部承包人管理信息处理设施的合同4.4 外包软件开发方的资料4.5 外包工作人员合约4.6 质量手册