关于信息系统安全测评

信息系统安全测评 文档准备指南

拜托单位（公章） ：

系统名称：

拜托日期：

中国信息安全测评中心

1 / 9

对于信息系统安全测评

一、文档提交要求

当拜托机构正式拜托中国信息安全测评中心对其信息系统实行安全测评时， 为了使测评人员在现场测评先期就可以对被评估系统有清楚而全面地认识， 拜托 机构应依据申请的测评种类准备文档。

拜托测评种类主要包含： 1．信息安全风险评估 2．信息系统安全等级保护测评 3．信息系统安全评估 4．远程浸透测试 5．系统安全技术监控 6．信息系统安全方案评审 需准备的测评文档主要包含： 1．《信息系统基本状况检查表》 2．《信息系统安全技术方案》 3．《信息安全管理组织架构》 4．《信息安全管理制度》

拜托单位在准备测评文档时，应依据所申请的测评业务种类准备相应的文 档。两者对应关系以下：

文档种类 《信息系统基

《信息系统安 《信息安全管 《信息安全管 本状况检查

全技术方案》 理组织架构》 理制度》 拜托

测评种类 表》 信息安全风险

√ √ √ √ 评估 信息系统安全 √ √ √ √ 等级保护测评

1 / 9

对于信息系统安全测评

信息系统安全

√ √ √ √ 评估

2 / 9

对于信息系统安全测评

远程浸透测试 系统安全技术

√ √ 监控 信息系统安全 √

方案评审

1． 保证提交文档内容真切、全面、详尽、正确。 2． 将提交文档与《拜托书》一并提交。

3． 提交资料时，应提交纸版和电子版文档 ( 光盘形式) 1 / 9

二、准备文档时需注意的问题各一份。

对于信息系统安全测评

附件一

《信息安全管理组织机构》

起码包含以下内容： 1、科技部门整体组织架构 2、信息安全管理组织架构图。

3、IT 运维部门设置、岗位设置及职责要求，以及人员与岗位的对应关系。 4、假如 IT 运维外包， 请供给外包服务商担当的岗位、 职责以及人员与岗位

的对应关系。

1 / 9

对于信息系统安全测评

附件二

《信息安全管理制度》

起码包含以下内容：

1. 文档制度系统构造说明及信息安全管理制度清单（假如有，请提早说明。

比如文档是依据 ISO9000 文档规范组织的） 2. 机构整体安全目标和政策方面的管理制度 3. 受权审批、审批流程等方面的管理制度 4. 安全审查和安全检查方面的管理制度

5. 管理制度、操作规程订正、保护方面的管理制度 6. 人员录取、离岗、查核等方面的管理制度 7. 人员安全教育和培训方面的管理制度 8. 第三方人员接见控制方面的管理制度 9. 工程实行过程管理方面的管理制度 10. 产品选型、采买方面的管理制度 11. 软件外包开发或自我开发方面的管理制度 12. 测试、查收方面的管理制度 13. 机房安全管理方面的管理制度 14. 办公环境安全管理方面的管理制度 15. 财产、设备、介质安全管理方面的管理制度 16. 信息分类、表记、公布、使用方面的管理制度 17. 配套设备、软硬件保护方面的管理制度

18. 网络安全管理（网络配置、帐号管理等）方面的管理制度19. 系统安全管理（系统配置、帐号管理等）方面的管理制度20. 系统监控、风险评估、破绽扫描方面的管理制度 21. 病毒防备方面的管理制度 22. 系统更改控制方面的管理制度 23. 密码管理方面的管理制度

1 / 9

对于信息系统安全测评

24. 备份和恢复方面的管理制度

25. 安全事件报告和处理方面的管理制度 26. 系统应急方案 27. 系统问题管理。

1 / 9

对于信息系统安全测评

附件三

《信息系统安全技术方案》

起码包含以下内容：

1．信息系统建设的背景、目的

2．信息系统的主要业务功能、使用用户和业务信息流 3．信息系统的安全需求 4．信息系统安全功能设计 4.1 描绘应用软件的安全功能

一般的安全体制包含身份鉴识、接见控制、安全审计、通讯安全、抗狡辩、软件容错、资源控制、代码安全等。 4.2 描绘网络层采纳的安全设置

一般的安全体制包含构造安全与网段区分、网络接见控制、网络安全审计、完好性检查、网络入侵防备、歹意代码防备等。 4.3 描绘系统层采纳的安全设置

一般的安全体制包含后台用户的身份鉴识、接见控制、安全审计等。 4.4 描绘针对此系统的特别安全控制举措

1 / 9

界限 对于信息系统安全测评

附件四

《信息系统基本状况检查表》

见 EXCEL 表。

1 / 9