信息系統(tǒng)安全技術(shù)方案

信息系統(tǒng)平安測評文檔準備指南托付單位〔公章〕：系統(tǒng)名稱：托付日期：中國信息平安測評中心

一、文檔提交要求當托付機構(gòu)正式托付中國信息平安測評中心對其信息系統(tǒng)實施平安測評時，為了使測評人員在現(xiàn)場測評前期就能夠?qū)Ρ辉u估系統(tǒng)有清晰而全面地了解，托付機構(gòu)應依據(jù)申請的測評類型準備文檔。托付測評類型主要包括：信息平安風險評估信息系統(tǒng)平安等級愛惜測評信息系統(tǒng)平安評估遠程滲透測試系統(tǒng)平安技術(shù)監(jiān)控信息系統(tǒng)平安方案評審需準備的測評文檔主要包括：1．《信息系統(tǒng)根本狀況調(diào)查表》2．《信息系統(tǒng)平安技術(shù)方案》3．《信息平安管理組織架構(gòu)》4．《信息平安管理制度》托付單位在準備測評文檔時，應依據(jù)所申請的測評業(yè)務類型準備相應的文檔。二者對應關(guān)系如下：文檔類型托付測評類型《信息系統(tǒng)根本狀況調(diào)查表》《信息系統(tǒng)平安技術(shù)方案》《信息平安管理組織架構(gòu)》《信息平安管理制度》信息平安風險評估√√√√信息系統(tǒng)平安等級愛惜測評√√√√信息系統(tǒng)平安評估√√√√遠程滲透測試系統(tǒng)平安技術(shù)監(jiān)控√√信息系統(tǒng)平安方案評審√二、準備文檔時需留意的問題保證提交文檔內(nèi)容真實、全面、詳細、精確。將提交文檔和《托付書》一并提交。提交材料時，應提交紙版和電子版文檔(光盤形式)各一份。

附件一《信息平安管理組織機構(gòu)》至少包括以下內(nèi)容：科技部門整體組織架構(gòu)信息平安管理組織架構(gòu)圖。IT運維部門設置、崗位設置及職責要求，以及人員和崗位的對應關(guān)系。假如IT運維外包，請供應外包效勞商擔當?shù)膷徫?、職責以及人員和崗位的對應關(guān)系。

附件二《信息平安管理制度》至少包括以下內(nèi)容：文檔制度體系構(gòu)造說明及信息平安管理制度清單〔假如有，請?zhí)崆罢f明。例如文檔是遵照ISO9000文檔標準組織的〕機構(gòu)總體平安方針和政策方面的管理制度授權(quán)審批、審批流程等方面的管理制度平安審核和平安檢查方面的管理制度管理制度、操作規(guī)程修訂、維護方面的管理制度人員錄用、離崗、考核等方面的管理制度人員平安教化和培訓方面的管理制度第三方人員訪問限制方面的管理制度工程實施過程管理方面的管理制度產(chǎn)品選型、選購 方面的管理制度軟件外包開發(fā)或自我開發(fā)方面的管理制度測試、驗收方面的管理制度機房平安管理方面的管理制度辦公環(huán)境平安管理方面的管理制度資產(chǎn)、設備、介質(zhì)平安管理方面的管理制度信息分類、標識、發(fā)布、運用方面的管理制度配套設施、軟硬件維護方面的管理制度網(wǎng)絡平安管理〔網(wǎng)絡配置、帳號管理等〕方面的管理制度系統(tǒng)平安管理〔系統(tǒng)配置、帳號管理等〕方面的管理制度系統(tǒng)監(jiān)控、風險評估、漏洞掃描方面的管理制度病毒防范方面的管理制度系統(tǒng)變更限制方面的管理制度密碼管理方面的管理制度備份和復原方面的管理制度平安事務報告和處置方面的管理制度系統(tǒng)應急預案系統(tǒng)問題管理。

附件三《信息系統(tǒng)平安技術(shù)方案》至少包括以下內(nèi)容：信息系統(tǒng)建立的背景、目的信息系統(tǒng)的主要業(yè)務功能、運用用戶和業(yè)務信息流信息系統(tǒng)的平安需求信息系統(tǒng)平安功能設計4.1描述應用軟件的平安功能一般的平安機制包括身份鑒別、訪問限制、平安審計、通信平安、抗抵賴、軟件容錯、資源限制、代碼平安等。4.2描述網(wǎng)絡層接受的平安設置一般的平安機制包括構(gòu)造平安和網(wǎng)段劃分、網(wǎng)絡訪問限制、網(wǎng)絡平安審計、邊界完整性檢查、網(wǎng)絡入侵防范、惡意代碼防范等。4.3描述系統(tǒng)層接受的平安設