信息系统安全测评申请书doc.docx
- 文档编号:1877113
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:12
- 大小:19.42KB
信息系统安全测评申请书doc.docx
《信息系统安全测评申请书doc.docx》由会员分享,可在线阅读,更多相关《信息系统安全测评申请书doc.docx(12页珍藏版)》请在冰点文库上搜索。
信息系统安全测评申请书doc
信息系统安全测评申请书
申请单位:
申请日期:
河北省信息安全测评中心
测评须知
信息系统安全测评的主要依据是《GB/T18336.1-2001 信息技术安全技术信息技术安全性评估准则》以及其他相关国家标准、行业标准和河北省信息安全测评中心确认的国际标准、开发编制的信息安全保密技术规范等标准化指导文件。
告用户
为保证党政机关信息系统的安全,河北省信息安全测评中心承诺:
1、根据有关信息安全管理的政策法规,按照《党政机关信息系统安全测评规范》对信息系统进行安全性测评。
2、测评本着科学、客观、公正的原则,如实反映被测评信息系统的真实情况。
3、河北省信息安全测评中心不将测试数据和用户提交的任何信息提供给第三方。
4、用户提交的文档资料只限制在与该项目测评的有关工作人员使用。
5、河北省信息安全测评中心工作人员测评中,遵守对方单位的各项管理规定。
6、测评中心工作人员均与河北省信息安全测评中心签署了保密协议。
7、因河北省信息安全测评中心原因所造成的涉密信息泄漏,本中心承担法律责任。
填表说明
用户填写和提供的信息及资料应保证真实可靠。
1、申请表编号由本中心编制填写。
2、申请表中“信息安全责任人”是指被测系统信息(安全)主管部门的领导。
3、申请表中“全职人员”与被测系统相关的专职人员。
4、本申请表请在计算机上填写,内容以实际情况为准。
5、如填写内容较多,可另附页。
6、提交申请表及资料附件一式两份,申请表电子文档一份。
申请单位联系信息
部门:
部门负责人:
电话:
手机:
联系人:
电话:
手机:
传真:
电子邮箱:
联系地址:
邮政编码:
被测单位概况和申请意见
组织管理状况
被测系统名称
信息安全主管部门
信息安全责任人
系统运行管理部门
系统运行负责人
专职人员数量
兼职人员数量
上级主管部门
系统状况
系统性质
党政机关事业单位其它
系统建设状况
新建已建扩建
系统服务对象
内部应用对外服务其它
系统信息特点
国家秘密内部信息其他敏感信息公共信息
对外连接关系
独立网络与互联网连接其它
网络类型
局域网园区网城域网广域网(跨省市)
投资规模(万元)
网络结点数量
申请意见
单位主管部门领导签字:
单位盖章:
年月日
提交资料清单
说明:
下列需要提供的资料,若前面标有“●”的为必须提供的资料,无标记的资料请用户根据自身情况和系统测评目的尽可能提供的。
1.技术资料
1.1●系统设计资料,包括以下内容:
1.1.1建设目的与依据
1.1.2系统的应用需求及总体设计方案
1.1.3网络规模和拓扑结构
1.1.4网络信息流描述
1.1.5安全威胁描述及其风险分析
1.1.6系统的安全需求
说明:
对于网络规模,用户提供的资料中应详细说明其网络结点数量、IP网段设置情况、VLAN的划分情况、采用网络操作系统类型、不同应用系统客户机数量。
用户应提供本单位详细的网络拓扑结构,提供所有网络设备的产品名称、型号、连接方式、具体安放位置及其它相关信息;对于被测服务器,需提供具体IP地址的设置、采用的操作系统及设置情况;对于特殊网络设置,如虚联接等,需详细说明其实现方式;
网络信息流描述,需用户提供其应用系统的详细数据流转过程,包括数据的生成、处理、分发、查询等流程。
1.2●安全策略及体系设计,包括以下内容:
1.2.1系统安全策略规划
1.2.2系统安全功能及其实现方法
1.2.3主要软硬件设备及性能清单
1.2.4主要安全产品技术白皮书、产品资质证明、服务商资质。
说明:
用户应提供其网络操作系统、应用系统及物理环境的整体安全策略,资料中应详细提供策略的实现方式,包括用户等级的划分,不同等级用户可访问的数据范围,对关键数据的保护措施等;采用的软、硬件安全产品情况及为实现安全策略所进行的具体配置信息;网络安全管理所采用的软、硬件产品配置及实现方法。
1.3应用系统使用、管理和维护手册
1.4●系统工程实施资料
1.5●系统验收资料
2.系统安全管理机构描述和管理制度的资料
注:
被测单位综合性管理文档中涉及多项管理制度,或某项管理制度在被测单位多份文档中体现的,要求用户按评测申请表的要求,详细指明各项制度在文档中所处位置。
2.1管理制度,包括下列内容:
2.1.1●本单位系统适用的法律法规
2.1.2●用户所在单位的管理部门颁发批准的信息安全策略文档资料
2.1.3安全策略审查和评估的相关规定
2.1.4●对应不同保密等级的不同保密规程及分类指南
2.1.5●信息资产管理规定
说明:
企业的信息资产主要包括:
-数据库和数据文件,系统文档,用户手册,培训材料,操作或支持规程,连续性规划,后备运行安排,归档的信息;
-软件资产,如应用软件,系统软件,开发工具和实用程序;
-物理资产,如计算机设备、通信设备、磁媒体,其他技术设备、家具等;
-服务如计算和通信服务,一般公共服务,例如,供暖、照明、空调。
2.1.6安全事故处理规程
2.1.7●有关物理安全的规定
2.1.8办公设施的保护措施相关文档
2.1.9资产移交的管理规定
2.1.10电源的管理规定
2.1.11●本单位信息处理设施管理规程
2.1.12事故管理规程
2.1.13系统数据检验和控制规程
2.1.14系统中软件的管理和措施文档
说明:
指信息系统中对软件的购买、安装、使用等相关规定。
2.1.15程序源代码库访问规程
说明:
指被测单位对源代码的获取、查询、修改等所做的相关规定,如源代码管理与第三方相关,需制定相应的制度。
2.1.16用户口令管理规定
2.1.17备份策略规程
2.1.18计算机媒体介质操作规程
2.1.19信息处置和存储规程
2.1.20使用网络和网络服务政策
2.1.21系统工具使用规程
2.1.22系统审计规程
2.2人员、机构与职责
2.2.1●安全决策机构组成的机构图及职责分工表
2.2.2安全管理人员的职责分工表
2.2.3安全顾问的聘任书
2.2.4安全管理人员履历及专业资格证书
2.2.5●人员保密协议范本
说明:
保密协议用来告知信息是保密的或秘密的。
被测单位内部人员一般要签署这样的一个协议,作为录用他们的最初期限和条件的一部分。
2.2.6人员岗位职责规定
2.3安全运行资料
2.3.1定期安全策略有效性审查和评估的记录
2.3.2●召开安全管理会议的会议记要
说明:
根据《规范》规定,被测单位应定期召开安全管理例会,评审和批准安全策略和总体职责;监视信息资产暴露于主要威胁时的重大变更;评审和监控安全事件;批准所采取的安全措施,以增强安全性。
2.3.3安全专家的建议记录
2.3.4●设备维护记录
2.3.5访问控制策略文档
2.3.6定期的审计分析报告
2.3.7异常情况审计日志和安全事件记录
3.系统自测试报告
3.1委托其它测评机构进行测评的测试过程和测试报告及其结论
3.2成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论
3.3系统运行前由系统集成单位进行测试的方法和测试报告
3.4开发人员进行功能调试所采用的方法和检测手段
4.其它资料
4.1与第三方合作时签订的合约
4.2产品的法定安全测评机构的评估证书
4.3外部承包人管理信息处理设施的合同
4.4外包软件开发方的资料
4.5外包工作人员合约
4.6质量手册
用户提供文档说明
注:
用户根据提供资料的情况填写此表,对于已提供的资料,请在“用户提供文档情况”一栏中填写对应的用户文档名称,若测评所需的资料体现在用户文档的某一部分,请在此栏中详细注明具体位置,如页数、章节等。
对于未能提供的必要文档,请说明原因。
测评所需资料名称
用户提供文档情况
1. 技术资料
1.1 ●系统设计资料
1.1.1 建设目的与依据
1.1.2 系统的应用需求及总体设计方案
1.1.3 网络规模和拓扑结构
1.1.4 网络信息流描述
1.1.5 安全威胁描述及其风险分析
1.2 ●安全策略及体系设计
1.2.1 系统安全策略规划
1.2.2 系统安全功能及其实现方法
1.2.4 主要软硬件设备及性能清单
1.2.5 主要安全产品技术白皮书、产品资质证明、服务商资质
1.3 应用系统使用、管理和维护手册
1.4 ●系统工程实施资料
1.5 ●系统验收资料
2. 系统安全管理机构和管理制度的资料
2.1 管理制度,包括下列内容:
2.1.1 ●本单位系统适用的法律法规
2.1.2 ●用户所在单位的管理部门颁发批准的信息安全策略文档资料
2.1.3 安全策略审查和评估的相关规定
2.1.4 ●对应不同保密等级的不同保密规程及分类指南
2.1.5 ●信息资产管理规定
2.1.6 安全事故处理规程
2.1.7 ●有关物理安全的规定
2.1.8 办公设施的保护措施相关文档
2.1.9 资产移交的管理规定
2.1.10 电源的管理规定
2.1.11 ●本单位信息处理设施管理规程
2.1.12 事故管理规程
2.1.13 系统数据检验和控制规程
2.1.14 系统中软件的管理和措施文档
2.1.15 程序源代码库访问规程
2.1.16 用户口令管理规定
2.1.17 备份策略规程
2.1.18 计算机媒体介质操作规程
2.1.19 信息处置和存储规程
2.1.20 使用网络和网络服务政策
2.1.21 系统工具使用规程
2.1.22 系统审计规程
2.2 人员、机构与职责
2.2.1 ●安全决策机构组成的机构图及职责分工表
2.2.2 安全管理人员的职责分工表
2.2.3 安全顾问的聘任书
2.2.4 安全管理人员履历及专业资格证书
2.2.5 ●人员保密协议范本
2.2.6 人员岗位职责规定
2.3 安全运行资料
2.3.1 定期安全策略有效性审查和评估的记录
2.3.2 ●召开安全管理会议的会议记要
2.3.3 安全专家的建议记录
2.3.4 ●设备维护记录
2.3.5 访问控制策略文档
2.3.6 定期的审计分析报告
2.3.7 异常情况审计日志和安全事件记录
3. 系统自测试报告
3.1 委托其它测评机构进行测评的测试过程和测试报告及其结论
3.2 成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论
3.3 系统运行前由系统集成单位进行测试的方法和测试报告
3.4 开发人员进行功能调试所采用的方法和检测手段
4. 其它资料
4.1 与第三方合作时签订的合约
4.2 产品的法定安全测评机构的评估证书
4.3 外部承包人管理信息处理设施的合同
4.4 外包软件开发方的资料
4.5 外包工作人员合约
4.6 质量手册
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 测评 申请书 doc