文档介绍:羄蚁莈信息系统安全测评蚆文档准备指南肄肁袆蒄膄膈薈委托单位(公章):膃芄系统名称:蕿羆委托日期:芆莃羀中国信息安全测评中心螈羅一、文档提交要求蒃当委托机构正式委托中国信息安全测评中心对其信息系统实施安全测评时,为了使测评人员在现场测评前期就能够对被评估系统有清晰而全面地了解,委托机构应根据申请的测评类型准备文档。莁委托测评类型主要包括:膆信息安全风险评估螄信息系统安全等级保护测评蒃信息系统安全评估螂远程渗透测试袈系统安全技术监控螇信息系统安全方案评审薃需准备的测评文档主要包括:衿1.《信息系统基本情况调查表》薀2.《信息系统安全技术方案》薆3.《信息安全管理组织架构》蚃4.《信息安全管理制度》芀委托单位在准备测评文档时,应根据所申请的测评业务类型准备相应的文档。二者对应关系如下:肇文档类型莄螃委托测评类型蚀《信息系统基本情况调查表》蝿《信息系统安全技术方案》肃《信息安全管理组织架构》袃《信息安全管理制度》肁信息安全风险评估芇√膆√羃√芈√罿信息系统安全等级保护测评羅√肂√虿√莇√蚄信息系统安全评估肂√肀√腿√螇√膂远程渗透测试蒁薇蒆节袂系统安全技术监控艿√芅莂√罿螆信息系统安全方案评审肃蒂√荿蒈肆薂二、准备文档时需注意的问题螀保证提交文档内容真实、全面、详细、准确。羆将提交文档与《委托书》一并提交。袅提交材料时,应提交纸版和电子版文档(光盘形式)各一份。蚂附件一膁《信息安全管理组织机构》蚈至少包括下列内容:薄科技部门整体组织架构蚁信息安全管理组织架构图。薂IT运维部门设置、岗位设置及职责要求,以及人员与岗位的对应关系。肆如果IT运维外包,请提供外包服务商承担的岗位、职责以及人员与岗位的对应关系。蚇螁附件二蝿《信息安全管理制度》螈至少包括下列内容:莆文档制度体系结构说明及信息安全管理制度清单(如果有,请提前说明。例如文档是按照ISO9000文档规范组织的)袁机构总体安全方针和政策方面的管理制度膀授权审批、审批流程等方面的管理制度薀安全审核和安全检查方面的管理制度膅管理制度、操作规程修订、维护方面的管理制度羁人员录用、离岗、考核等方面的管理制度薁人员安全教育和培训方面的管理制度羈第三方人员访问控制方面的管理制度羄工程实施过程管理方面的管理制度肁产品选型、采购方面的管理制度羂软件外包开发或自我开发方面的管理制度虿测试、验收方面的管理制度羇机房安全管理方面的管理制度办公环境安全管理方面的管理制度资产、设备、介质安全管理方面的管理制度信息分类、标识、发布、使用方面的管理制度配套设施、软硬件维护方面的管理制度网络安全管理(网络配置、帐号管理等)方面的管理制度系统安全管理(系统配置、帐号管理等)方面的管理制度系统监控、风险评估、***方面的管理制度病毒防范方面的管理制度系统变更控制方面的管理制度密码管理方面的管理制度备份和恢复方面的管理制度安全事件报告和处置方面的管理制度系统应急预案系统问题管理。附件三《信息系统安全技术方案》至少包括下列内容:信息系统建设的背景、目的信息系统的主要业务功能、、访问控制、安全审计、通信安全、抗抵赖、软件容错、资源控制、代码安全等。、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等。、访问控制、安全审计等。《信息系统基本情况调查表》见EXCEL表。